Araştırmacılar: Java'nın güvenlik sorunları yakında çözülemiyor

Yılın başlangıcından beri bilgisayar korsanları Java'daki güvenlik açıklarından yararlanıyorlar Microsoft, Apple, Facebook ve Twitter'ın yanı sıra ev kullanıcıları da dahil olmak üzere şirketlere karşı bir dizi saldırıyı gerçekleştirmek. Oracle, tehditlere daha hızlı yanıt vermek ve Java yazılımını güçlendirmek için çaba harcadı, ancak güvenlik uzmanları saldırıların yakın bir zamanda çıkma olasılığının düşük olduğunu söyledi.

Güvenlik araştırmacıları, bu hafta yeni keşfedilen MiniDuke’nun arkasındaki bilgisayar korsanlarını söylediler. cyberespionage kampanyası, hedeflerini tehlikeye atmak için bir Adobe Reader istismarının yanı sıra, Java ve Internet Explorer 8 için Web tabanlı kötüye kullanıldı. Geçen ay, MiniDuke malware, 23 ülkeden hükümet kuruluşlarına, araştırma enstitülerine, düşünce kuruluşlarına ve özel şirketlere ait 59 bilgisayarı etkiledi.

MiniDuke tarafından kullanılan Java istismari, şu anda Oracle tarafından yamalanmamış olan bir güvenlik açığını hedef aldı. saldırıları, Kaspersky Lab bir blog yazısında söyledi. Bir yama yayınlanmadan önce kamuya açık veya kötüye kullanılan güvenlik açıkları, bu yıl Java'ya yönelik saldırılarda birkaçı kullanılan sıfır gün güvenlik açığı olarak bilinir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Şubat ayında Microsoft, Apple, Facebook ve Twitter'dan yazılım mühendisleri, sıfır günlük Java kullanımıyla donatılan iOS geliştiricileri için bir topluluk web sitesini ziyaret ettikten sonra çalışma dizüstü bilgisayarlarına kötü amaçlı yazılım bulaştı. İhlaller, diğer sektörlerdeki hükümet kurumlarını ve şirketleri de etkileyen çok sayıda web sitesinden başlatılan daha büyük bir “sulama deliği” saldırısının sonucuydu. The Security Ledger'ın bildirdiği gibi.

Oracle, iki acil durum güvenlik güncellemesi yayınlayarak saldırılara yanıt verdi. yılın başlangıcı ve planlanan bir yamanın piyasaya sürülmesini hızlandırma. Ayrıca, Java uygulamalarının güvenlik kontrollerinin varsayılan ayarını yüksek seviyeye çıkardı ve Web tabanlı Java uygulamalarını kullanıcı onayı olmadan iç tarayıcıları yürütmesini engelledi.

Güvenlik uzmanları bunun iyi bir başlangıç ​​olduğunu söylüyorlar ancak daha fazla şey yapılması gerektiğini düşünüyorlar. güncellemeler için benimseme oranı ve kurumsal ortamlarda Java güvenlik kontrollerinin yönetimini iyileştirmek. Daha da önemlisi, Oracle'ın temel güvenlik sorunlarını tanımlamak ve düzeltmek için Java kodunu kapsamlı bir şekilde gözden geçirmesi gerektiğini söylüyorlar. Oracle'ın güvenlik endüstrisinin yıllardır verdiği uyarıları dinlemiş olsaydı bugün Java'nın daha güvenli olacağını düşünüyorlar.

“Geçtiğimiz yıllarda Oracle'da neler olup bittiğini söylemek zor ama hissettiğim bir dışsal izlenime dayanmak zor. Daha erken tepki verebildiler, ”diye konuştu. Risk temelli güvenlik danışmanı Carsten Eiram, e-posta yoluyla. “Oracle'ın bir sonraki büyük hedef olan Oracle'ın tahminlerini gerçekten ciddiye aldığından emin değilim.”

Oracle'ın son saldırıları önleyememesi olası bir şey değildi, ancak daha önce harekete geçtiğinde daha iyi bir konumda olacaktı. Kodunu güvenceye almak ve daha fazla güvenlik katmanı eklemek için.

“Java'nın şu anki durumu, Sun'ın Java'ya sahip olduklarında çok güçlü bir şekilde sahip olduğu gerçeğine dayanıyor,” diyor Global araştırma direktörü Costin Raiu. ve Kaspersky Lab'de analiz ekibi, e-posta yoluyla. “Oracle, Java'yı satın aldıktan sonra, belki de bu projeye çok az ilgi gösterildi.”

'dan beri Oracle, Sun Microsystems'i satın aldığında Java'yı satın aldı. Yazılım, Java.com'daki bilgilere göre dünya çapında 1,1 milyar masaüstü bilgisayara kuruldu. Yaygın dağıtım ve çapraz platform yapısı, hackerlar için çekici bir hedef haline getiriyor. Polonyalı bir güvenlik açığı araştırma firması olan Security Explorations'taki araştırmacılar, Oracle'ın IBM sürümünde Oracle'ın, IBM'in ve Apple'ın geçtiğimiz yıl boyunca kullandığı Java çalışmalarındaki 55 güvenlik açığını buldu ve rapor etti.Güvenlik Araştırmaları kurucusu Adam Gowdiak, e-posta yoluyla “Nisan 2012'de, Oracle'a Java SE 7'yi etkileyen 30 güvenlik sorunu bildirdik” dedi. “Bu, aynı zamanda Flashback Mac OS Truva atı vahşi ortamda bulundu. Her ikisi de Oracle için bir uyandırma çağrısı olarak çalışmış olmalıydı. ”

Kaspersky Lab, geçen yıl herhangi bir zamanda, üç kullanıcıdan birinin Java tarafından kullanılan beş büyük istismardan birine karşı savunmasız bir Java sürümünü çalıştırdığını bildirdi. hacker. Yoğun zamanlarda, kullanıcıların yüzde 60'ından fazlası korunmasız bir Java sürümü yüklüyordu.

Chrome, Flash Player, Adobe Reader ve diğer yazılımlarda bulunanlar gibi sessiz, otomatik güncelleme mekanizmalarının tüketicilere yardımcı olabileceğini belirten Eiram, dedi. Ancak, işletmeler bu özellikleri muhtemelen devre dışı bırakacak, dedi.

Aralık ayında piyasaya sürülen Java 7 Güncelleme 10 ile başlayan Oracle, Java kontrol panelinde kullanıcıların Java eklentisini tarayıcılardan devre dışı bırakmasına veya Java'yı zorlamak için yeni seçenekler sağladı. Java uygulamalarını çalıştırmadan önce onay isteyin. Java 7 Güncelleme 11'den bu yana, bu mekanizma için varsayılan ayar, imzasız Java uygulamalarının kullanıcı onayı olmadan otomatik olarak çalışmasını engelleyerek yüksek olarak ayarlanmıştır.

“Java'daki yeni güvenlik özelliklerine inanıyorum. Oracle'ın doğru yönde ilerlediğini gösterdi, ”diyor, güvenlik açığı yönetimi ve politika uyumluluk ürünleri satan Qualys CTO'su Wolfgang Kandek. Java'yı daha da yapılandırılabilir hale getirmek, BT yöneticilerinin, kuruluşlarının gereksinimlerini karşılayacak şekilde dağıtmalarına yardımcı olacaktır.

“Java'daki beyaz listeleme yeteneklerini memnuniyetle karşılayacağım, yani, onaylanan tüm siteleri uygulama mekanizmasını kullanacak şekilde yasaklayacağım, Kandek dedi. “Aynı zamanda, Java yapılandırma özelliklerinin merkezi yönetimi, yani Windows GPO [Grup İlkesi] aracılığıyla geliştirilmelidir.”

Kandek, Oracle'ın, diğer yazılım şirketleriyle yapılan saldırılara karşı Java’yı saldırılara karşı sertleştirmede daha büyük bir zorlukla karşı karşıya olduğuna inanıyor. kendi ürünleri. “Java tam bir programlama dilidir ve düşük düzeyli işletim sistemi görevleri de dahil olmak üzere tüm eylem gamını gerçekleştirebilmelidir…” dedi.

dedi Eiram ve Gowdiak, Oracle'ın Java kodunun kalitesini iyileştirmek için ihtiyaç duyduğunu söyledi Güvenlik açığı nedeniyle, şu anda güvenlik açıklarını bulmak nispeten kolaydır.

“Yazılım satıcılarının belirli bir kalitede güvenli kod sağlama sorumluluğu vardır ve Flash Player veya Java gibi yaygın bir şekilde dağıtılan yazılımların satıcılarının mazereti yoktur”. Eiram dedi. “Adobe bunu fark etti ve kodlarını geliştirmek için ciddi ve başarılı bir çaba gösterdi. Microsoft yıllar önce aynı şeyi yaptı. Oracle'ın bu ayak izlerini takip etme zamanı geldi. ”

Oracle'ın geliştiricilerinin Java'nın güvenlik tuzaklarının farkında olmadığını ve kod güvenlik incelemelerinin ya hiç yapılmadığını ya da yeterince kapsamlı olmadığını belirten belirtiler var Gowdiak. Güvenlik Araştırmaları tarafından tespit edilen sorunların çoğu, Oracle'ın Java için kendi güvenli kodlama kurallarını ihlal ettiğini belirtti.

“Daha önce platformun kapsamlı bir güvenlik incelemesi sırasında şirket tarafından elimine edilmesi gereken birçok kusur gördük. serbest bırakılması, ”dedi Gowdiak dedi.

Oracle, temel zafiyetleri ayıklamak ve kodun olgunluğunu arttırmak için Java için sağlam bir Güvenli Gelişim Yaşam Döngüsü uygulamalıdır. SDL, güvenlik açıklarını vurgulamak ve güvenlik açıklarını azaltmak için geliştirme uygulamalarını vurgulayan bir yazılım geliştirme sürecidir.

En iyi yaklaşım, geliştiricilerin Microsoft'un yaptığı gibi dahili eğitim oturumlarını tutarak ve mevcut kodu gözden geçirerek düzgün şekilde eğitilmesini sağlamaktır. Dış denetçilerin yardımıyla, Eiram dedi. “Oracle, yine de kendi kodlarına bakmakta olan yetenekli araştırmacıların bazılarını işe yarayabilir.”

Oracle, 4 aydan 2 aya kadar Java için yama döngüsünü hızlandıracağını ve Java güvenlik sorunları hakkında daha iyi iletişim kurmaya söz verdiğini söyledi. Tüketiciler, BT uzmanları, basın ve güvenlik araştırmacıları dahil tüm kitleler. Java güvenlik güncellemeleri ile Oracle'ın güvenlik konusundaki iletişim eksikliği arasındaki uzun süreler uzun süredir eleştirilmektedir.

“Halkla ve basınla daha iyi iletişim kurma vaadlerini yerine getirip getirmeyeceklerini görmek ilginç olacak. Eiram, geçmişte, benim görüşüme göre - bence aşağı doğru kibirli ve rapor edilen savunmasızlıklara ve hatta onların geçerliliğine dair yorumlarda bulunmayı reddetti. ”Dedi.

Oracle'ın korumak için gerekli olduğunu söylediği güvenlik konuları hakkında yorum yapma politikası Kullanıcılar, harici olarak raporlanan tehditlerin gerçek olup olmadığını veya Oracle'ın bu konuda ne yaptıklarını bilmediklerini belirtti. “Güvenlik ve duyarlılığa bu yaklaşım bir önceki binyılda aittir.”

Güvenlik uzmanları, Oracle'ın, yakın gelecekte saldırganları caydıracak şekilde tüm sorunları çözmesini beklemiyor.

“Öngörmüyorum. Java'nın güvenlik sorunları yakında sona eriyor, ”dedi Eiram. “Tekneyi çevrelemek için hem Microsoft hem de Adobe'yi bir süreliğine aldı ve ürünleri şimdi ve sonrasında şimdi sıfır-güne [patlamalar] tabi oluyor. Java'nın saldırganlara sunacak çok şeyi var, bu yüzden şimdiye kadar odaklanmalarını sürdürmelerini bekliyorum. ”

“ Yakında çözümler beklemezdim, ”dedi Kandek. “BT yöneticileri zamanlarını masaüstünde Java'ya gereksinim duydukları yere göre anlamaları ve bunları kısıtlayabilmeleri için yatırım yapmalıdır.”

Güvenlik uzmanları, Java'nın en azından tarayıcı düzeyinde gerekmediği durumlarda devre dışı bırakılması gerektiği konusunda hemfikir. Birçok kullanıcı bilgisayarlarında Java'nın yüklü olduğunu bile bilmiyor. Muhtemelen Google ve Mozilla'nın Chrome ve Firefox'ta Java eklentisini kısıtlamayı tercih etmesinin nedeni de budur.

Apple ayrıca Mac OS X'te Java eklentisinin savunmasız sürümlerini kara listeye almıştır ve Windows'un Java kullanımını sınırlandırabilecek bir kayıt defteri ayarı vardır. Internet Explorer'a güvenilen web siteleri.

Çoğu ev kullanıcısı tarayıcılarında Java'ya ihtiyaç duymazken, dünyanın bazı bölgelerindeki insanlar da olabilir. Örneğin, Danimarka'da çevrimiçi bankacılık ve devlet web siteleri, Java desteği gerektiren NemID adında bir oturum açma mekanizması kullanıyor. Benzer durumlar başka ülkelerde de olabilir.

Bu durumlarda, Chrome ve Firefox'taki tıkla oynat özelliğini veya IE'deki Bölgeler mekanizmasını kullanmak, Java içeriğinin yalnızca belirli web sitelerinden yüklenmesine izin vermek için kullanılabilir. Daha az teknik bir çözüm, genel görevler için Java devre dışı bırakılmış bir tarayıcı ve Java desteğine ihtiyaç duyan güvenilir web siteleri için Java ile etkinleştirilmiş farklı bir tarayıcı kullanmak olacaktır.

Kurumsal ortamlarda Java kullanımını kısıtlamak daha zordur. Birçok şirket, Java tarayıcı eklentisinin çalışmasını gerektiren dahili ve harici Web tabanlı uygulamaları kullanır. Tıklat-oynat gibi özellikler, politikaların merkezi olarak yönetilmesi ve uygulanmasının gerektiği kurumsal ortamlar için uygun değildir.

“Java'yı daha yapılandırılabilir hale getirmek, BT yöneticilerinin Java'yı kuruluşun gereksinimleri için doğru şekilde kullanmasına yardımcı olacaktır” dedi. “Daha yüksek varsayılan güvenlik seviyeleri ve tarayıcıdan kolay bağlantı kesmek iyi bir başlangıçtır, ancak tarayıcıların veya Java eklentilerinin beyaz listeleme özelliklerini geliştirmemiz gerektiğine inanıyorum.”

Şimdilik, IE'deki Bölge mekanizması Kurumsal ortamlarda Java eklentisi için en ölçeklenebilir yönetim özellikleri sunuyor Kandek, Microsoft, Facebook, Apple ve Twitter'da güvenlik ihlalleriyle sonuçlanan Java tabanlı saldırıların son dalgası Java'nın zarar görmesine neden olabilir. ün, Eiram dedi. Ancak işletmeler, Java'ya güvende ve güvende olduklarına güvenirse, “araştırmacılar tarafından bir süreliğine verilen çok fazla uyarıya boyun eğmediler” dedi.

Bu sadece Java'nın hasar görmüş olabileceği itibarı değil. Bazı firmalar Java'nın zayıf güvenliğinin diğer Oracle ürünlerine yansıtılıp yansıtmadığını soruyor Gowdiak, dedi.

Eiram, son saldırıların şirketlerin kendi ortamlarında Java'ya gereksinim duyup duymadıklarını yeniden değerlendirmelerine neden olacağını umuyor.

“Şirketler genel olarak Saf HTML5 tabanlı uygulamalara geçiş yapmak ve Flash, Silverlight ve Java gibi eklentilerden uzaklaşmak, ”diyor Kandek. “Java, güçlü işlem yeteneklerine kesinlikle ihtiyaç duyulan sunucu tarafında büyümeye devam edecektir.”