חוקרים: בעיות אבטחה של ג' אווה סביר להניח להיפתר בקרוב

מאז תחילת השנה, האקרים ניצלו את הפגיעות ב- Java לבצע שורה של התקפות נגד חברות, כולל מיקרוסופט, אפל, פייסבוק וטוויטר, כמו גם משתמשים ביתיים. אורקל עשתה מאמץ להגיב מהר יותר לאיומים ולחזק את תוכנת ג'אווה שלה, אבל מומחי אבטחה אומרים שההתקפות לא יוותרו בקרוב. רק השבוע, חוקרי אבטחה אמרו שהאקרים שמאחורי ה- MiniDuke שנחשף לאחרונה קמפיין cyberespionage השתמשו מנצלים מבוססי אינטרנט עבור Java ו- Internet Explorer 8, יחד עם Adobe Reader לנצל, כדי לפגוע ביעדים שלהם. בחודש שעבר, תוכנות זדוניות MiniDuke נגוע 59 מחשבים השייכים לארגונים ממשלתיים, מכוני מחקר, חשיבה וחברות פרטיות מ 23 מדינות.

לנצל את ג 'אווה בשימוש על ידי MiniDuke ממוקד פגיעות אשר לא תוקנו על ידי אורקל בזמן את ההתקפות, Kaspersky Lab אמר בבלוג. פגיעויות שהופעלו לציבור או מנוצלות לפני שחרור תיקון ידועות כפגיעות יום אפס, שחלקן כבר בשימוש בהתקפות נגד ג'אווה השנה. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

בחודש פברואר, מהנדסי תוכנה של מיקרוסופט, אפל, פייסבוק וטוויטר היו מחשבים נישאים שלהם נגוע תוכנה זדונית לאחר ביקור באתר הקהילה עבור מפתחי iOS שהיו מבוים עם ניצול יום אפס ג 'אווה. ההפרות היו תוצאה של התקפת "השקיה" גדולה יותר שהושקה מאתרי אינטרנט רבים, שהשפיעה גם על סוכנויות ממשלתיות וחברות בענפים אחרים, כך דווח ב- Ledger.

אורקל הגיבה על ההתקפות על ידי הנפקת שני עדכוני אבטחה דחופים מאז תחילת השנה והאצת השחרור של תיקון מתוכנן. זה גם העלה את הגדרת ברירת המחדל של פקדי האבטחה עבור יישומוני Java גבוה, ומניעת יישומי Java מבוססי אינטרנט מתוך ביצוע דפדפנים בתוך ללא אישור המשתמש.

מומחים בתחום האבטחה אומרים שזה התחלה טובה אבל חושבים יותר צריך לעשות כדי להגדיל את קצב האימוץ של עדכונים ולשפר את הניהול של בקרות האבטחה של Java בסביבות ארגוניות. חשוב יותר, הם אומרים, אורקל צריך לבדוק ביסודיות קוד ג 'אווה שלה כדי לזהות ולתקן את בעיות האבטחה הבסיסיות. הם מאמינים שג'אווה תהיה בטוחה יותר היום אם אורקל תקשיב לאזהרות של תעשיית האבטחה לאורך השנים. "זה קשה לומר מה שקורה בתוך אורקל בשנים האחרונות, אבל על סמך רושם חיצוני אני מרגישה הם יכלו להגיב מוקדם יותר ", אמר קארסטן איירם, מנהל המחקר הראשי בחברת הייעוץ Risk Risk Security, בדוא"ל. "אני לא בטוח שאורקל באמת לקחה את התחזיות של ג'אווה להיות היעד העיקרי הבא ברצינות". זה לא סביר שאורקל היתה יכולה למנוע את ההתקפות האחרונות, הוא אמר, אבל זה יהיה במצב טוב יותר אם זה היה פועל מוקדם יותר כדי לאבטח את הקוד שלה ולהוסיף עוד שכבות של אבטחה. "אני חושב שהמצב הנוכחי של אבטחה ב- Java נובע מהעובדה שסאן דחפה את ג'אווה מאוד כאשר הם עדיין בבעלותה", אמר קוסטין ריו, מנהל המחקר העולמי וניתוח צוות במעבדה קספרסקי, באמצעות דוא"ל. "אחרי שאורקל רכשה את ג'אווה, אולי קצת עניין נכנס לפרויקט הזה".

אורקל רכשה את ג'אווה כאשר רכשה את סאן מיקרוסיסטמס בשנת 2010. התוכנה מותקנת ב -1.1 מיליארד מחשבים שולחניים ברחבי העולם, על פי מידע ב- Java.com. הפריסה הנרחבת והפלטפורמות שלו הופכות אותו ליעד אטרקטיבי עבור האקרים. חוקרים בחקר הביטחון של פולין, חברת מחקר לפגיעות פולנית, מצאו ודיווחו על 55 פגיעויות בג'אווה runtimes שמנהלים אורקל, יבמ ואפל בשנה האחרונה, 36 מתוכם בגירסה של אורקל."בחודש אפריל 2012, דיווחנו על 30 בעיות אבטחה לאורקל שהשפיעו על Java SE 7", אמר אדם Gowdiak, מייסד Security Securityor, באמצעות הדוא"ל. "זה היה בערך באותו זמן את Flashback Mac OS טרויאני נמצא בטבע. שניהם צריכים לעבוד בתור קריאת השכמה עבור אורקל. "

Kaspersky Lab דיווחה כי בכל זמן נתון בשנה שעברה, אחד מכל שלושה משתמשים היה מפעיל גירסה של ג 'אווה, כי היה חשוף לאחד חמישה מנצלים העיקריים בשימוש על ידי האקרים. בזמני שיא, יותר מ -60% מהמשתמשים היו מותקנים בגירסת Java חשופה.

מתן מנגנון עדכון אוטומטי שקט, כמו זה שנמצא ב- Chrome, Flash Player, Adobe Reader ותוכנות אחרות עשוי לסייע לצרכנים, אמר Eiram. עם זאת, עסקים חדשים יבטלו תכונות כאלה, אמר.

החל מ- Java 7 Update 10, שפורסם בדצמבר, אורקל סיפקה אפשרויות חדשות בלוח הבקרה של Java שמאפשר למשתמשים להשבית את תוסף Java מהדפדפנים או לאלץ את Java לבקש אישור לפני יישומוני Java לבצע. מאז Java 7 עדכון 11, הגדרת ברירת המחדל עבור מנגנון זה הוגדרה גבוהה, מניעת יישומוני Java חתום מ פועל באופן אוטומטי ללא אישור המשתמש.

"אני מאמין תכונות אבטחה חדשות ב- Java להראות כי אורקל היא בכיוון הנכון ", אמר וולפגנג קנדק, CTO של קואליס, שמוכרת מוצרי פגיעות ומוצרי ציות למדיניות. ביצוע Java עוד יותר להגדרה יעזור למנהלי IT לפרוס אותו באופן שיענה על הדרישות של הארגונים שלהם.

"אני מברך על יכולות הרישום הלבן ב- Java, כלומר, איסור על כל האתרים, למעט אתרים מאושרים, להשתמש במנגנון היישומון, "אמר קאנדק. "במקביל, יש לשפר את הניהול המרכזי של יכולות התצורה של Java, כלומר באמצעות Windows GPO [מדיניות קבוצתית]."

Kandek סבור שאורקל עומדת בפני אתגר גדול יותר בהקשחת ג 'אווה נגד התקפות מאשר לחברות תוכנה אחרות שעשתה עם המוצרים שלהם. "ג'אווה היא שפת תכנות מלאה וצריכה להיות מסוגלת לבצע את מכלול הפעולות המלא … כולל משימות ברמה נמוכה של מערכות ההפעלה." [

] עם זאת, איירם וגובדיאק אמרו כי אורקל צריכה לשפר את איכות קוד ה- Java שלה מנקודת מבט ביטחונית, כי כרגע זה קל יחסית למצוא נקודות תורפה. "

" ספקי תוכנה יש אחריות לספק קוד מאובטח של איכות מסוימת, וספקים של תוכנות פרוסים נרחב כמו Flash Player או Java פשוט אין תירוץ, " אמר איירם. "Adobe הבנתי את זה ועשו מאמץ רציני ומוצלח כדי לשפר את הקוד שלהם. מיקרוסופט עשתה זאת לפני שנים רבות. הגיע הזמן שאורקל תעקוב אחר הצעדים האלה ". יש סימנים לכך שמפתחי אורקל לא מודעים למלכודות האבטחה של ג'אווה, וכי ביקורות האבטחה של הקוד לא נעשות כלל או לא מקיפות מספיק, אמר גוודיאק. רבות מהנושאים שזוהו על ידי "חקר הביטחון" מפרים את הנחיות הקידוד המאובטחות של Oracle עבור Java, כך אמר. "מצאנו פגמים רבים שהיו אמורים לחסל על ידי החברה בזמן סקירת אבטחה מקיפה של הפלטפורמה לפני, אומר גובדיאק. "אורקל צריכה ליישם מחזור פיתוח מאובטח מוצק עבור Java כדי לסלק את נקודות התורפה הבסיסיות ולהגדיל את הבשלות של הקוד, אמר Eiram. SDL הוא תהליך פיתוח תוכנה אשר מדגיש ביקורות אבטחה קוד ושיטות פיתוח מאובטח כדי להפחית את הפגיעויות.

הגישה הטובה ביותר היא להבטיח כי מפתחים הוכשרו כראוי על ידי קיום הפעלות הדרכה פנימיים, כפי שעשתה מיקרוסופט, ולסקור את הקוד הקיים עם עזרה של רואי חשבון חיצוניים, אמר Eiram. "אורקל עשויה גם לחתום על כמה מהחוקרים המיומנים שמסתכלים על הקוד שלהם בכל מקרה".

אורקל הודיעה כי היא תאיץ את מחזור התיקון ל- Java מ -4 חודשים ל -2 חודשים והבטיחה לתקשר טוב יותר עם בעיות אבטחה של Java כל הקהל, כולל צרכנים, אנשי IT, עיתונאים וחוקרי אבטחה. המרווחים הארוכים בין עדכוני האבטחה של ג'אווה לבין חוסר התקשורת של אורקל בביטחון זכו לביקורת ארוכה"זה יהיה מעניין לראות אם הם יכבדו את ההבטחה שלהם לתקשר טוב יותר עם הציבור והעיתונות. בעבר, הם היו, לדעתי, יהירים לגמרי וסירבו להגיב על הפגיעות שדווחו, ואפילו על תקפותם ", אמר אירם. המדיניות של אי-תגובה לנושאים ביטחוניים, שאורקל אמרה, הייתה נחוצה כדי להגן עליהם, גרמו למשתמשים לא לדעת אם האיומים המדווחים חיצונית היו אמיתיים או מה שאורקל עושה עליהם, הוא אמר. "גישה זו לביטחון ולהיענות שייכת למילניום הקודם".

מומחי אבטחה אינם מצפים מאורקל לפתור את כל הבעיות בעתיד הקרוב באופן שירתיע את התוקפים הנחושים.

"אני לא צופה בעיות האבטחה של ג'אווה מסתיימות בקרוב ", אמר אירם. "זה לקח גם מיקרוסופט וגם Adobe זמן להפוך את הסירה מסביב, ואת המוצרים שלהם הם עדיין כפופים אפס יום [מנצל] מדי פעם. לג'אווה יש הרבה מה להציע לתוקפים, ולכן אני מצפה שהם ימשיכו להתמקד בהם בינתיים "." לא הייתי מצפה לפתרונות בזמן הקרוב ", אמר קנדק. "מנהלי IT צריכים להשקיע את הזמן שלהם בהבנה היכן הם צריכים Java על שולחן העבודה והיכן הם יכולים להגביל את זה."

מומחי אבטחה מסכימים כי Java צריך להיות מושבת איפה זה לא נחוץ, לפחות ברמת הדפדפן. משתמשים רבים אפילו לא יודעים שיש להם Java מותקן על המחשבים שלהם. זה כנראה בגלל ש- Google ו- Mozilla בחרו להגביל את הפלאגין של ג'אווה ב- Chrome וב- Firefox.

Apple גם גרמה לרשימה שחורה של הפלאגין של Java ב- Mac OS X, ול- Windows יש הגדרת רישום שיכולה להגביל את השימוש ב- Java Internet Explorer לאתרים מהימנים.

בעוד משתמשים ביתיים רבים לא צריכים Java בדפדפנים שלהם, אנשים בחלקים מסוימים של העולם. בדנמרק, למשל, אתרי הבנקאות המקוונת והממשל הממשלתי משתמשים במנגנון log-in בשם NemID שדורש תמיכה ב- Java, אמר אירם. מקרים דומים עשויים להיות קיימים במדינות אחרות.

במקרים אלה, ניתן להשתמש בתכונה 'לחץ להפעלה' ב- Chrome וב- Firefox או במנגנון 'אזורי' ב- IE, כדי לאפשר טעינת תוכן Java מאתרים מסוימים בלבד. פתרון טכני פחות יהיה להשתמש בדפדפן אחד עם Java מושבת עבור משימות כלליות, דפדפן אחר עם Java מופעלת עבור אתרי אינטרנט אמינים הזקוקים לתמיכה של Java.

הגבלת השימוש ב- Java בסביבות ארגוניות היא קשה יותר. חברות רבות משתמשות ביישומים פנימיים וחיצוניים מבוססי אינטרנט המחייבים את תוסף הדפדפן של Java לפעול. תכונות כמו 'לחץ להפעלה' אינן מתאימות לסביבות ארגוניות שבהן המדיניות צריכה להיות מנוהלת באופן מרכזי ואכפתית.

"הפיכת Java ליותר גמישה תעזור למנהלי IT לפרוס את Java בצורה המתאימה לדרישות הארגון", אמר קנדק. "רמות אבטחה גבוהות יותר של ברירת המחדל והתנתקות קלה מהדפדפן הן התחלה טובה, אבל אני מאמין שנצטרך לשפר את יכולות הרישום של הדפדפנים או את יישומי ה- Java."

נכון לעכשיו, מנגנון אזור ב- IE מציעה את יכולות הניהול המדרגיות ביותר עבור תוסף Java בסביבות ארגוניות.

הגל האחרון של התקפות מבוססות ג'אווה, כולל זה שהביא לפריצת אבטחה ב- Microsoft, Facebook, Apple ו- Twitter, עלול להזיק ל- Java מוניטין, אמר איירם. אבל אם העסקים היו בטוחים בג'אווה כ"בטוחים ובטוחים "," הם לא שמעו את האזהרות הרבות שסיפקו החוקרים במשך זמן מה ", אמר." זה לא רק המוניטין של ג'אווה שיכול היה להיפגע. סביר להניח כי חלק מהחברות שואלות אם האבטחה המסכנה של ג'אווה משתקפת במוצרי אורקל אחרים, אומר גוודיאק.

Eiram מקווה שההתקפות האחרונות יגרמו לחברות להעריך מחדש האם הן זקוקות ל- Java בסביבות שלהן. הם נודדים ליישומים מבוססי HTML5 טהורים ומתרחקים מתוספים כגון Flash, Silverlight ו- Java ", אמר קנדק. "Java תמשיך לצמוח בצד השרת, שבו יכולות העיבוד החזקות שלה נחוצות לחלוטין"