Onderzoekers: Java-beveiligingsproblemen worden waarschijnlijk niet snel opgelost

Sinds het begin van het jaar maken hackers gebruik van kwetsbaarheden in Java om een ​​reeks aanvallen uit te voeren tegen bedrijven als Microsoft, Apple, Facebook en Twitter, evenals thuisgebruikers. Oracle heeft zich ingespannen om sneller op de dreigingen te reageren en zijn Java-software te versterken, maar beveiligingsdeskundigen zeggen dat het onwaarschijnlijk is dat de aanvallen snel zullen verdwijnen.

Alleen deze week zeiden beveiligingsonderzoekers de hackers achter de recent ontdekte MiniDuke cyberespionagecampagne gebruikte web-based exploits voor Java en Internet Explorer 8, samen met een Adobe Reader-exploit, om hun doelen in gevaar te brengen. Vorige maand infecteerde de MiniDuke-malware 59 computers van overheidsorganisaties, onderzoeksinstituten, denktanks en privébedrijven uit 23 landen.

De Java-exploit die door MiniDuke werd gebruikt, was gericht tegen een kwetsbaarheid die Oracle op het moment van de aanvallen, zei Kaspersky Lab in een blogpost. Kwetsbaarheden die openbaar worden gemaakt of worden geëxploiteerd voordat een patch wordt uitgebracht, worden zero-day-kwetsbaarheden genoemd, waarvan er verschillende zijn gebruikt in de aanvallen tegen Java dit jaar.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

In februari hadden softwaretechnici van Microsoft, Apple, Facebook en Twitter hun werklaptops geïnfecteerd met malware nadat ze een community-website hadden bezocht voor iOS-ontwikkelaars die waren getuigd van een Java zero-day exploit. De inbreuken waren het gevolg van een grotere "gietgat" -aanval opgestart door meerdere websites die ook van invloed waren op overheidsinstanties en bedrijven in andere sectoren, meldde The Security Ledger.

Oracle heeft op de aanvallen gereageerd door twee noodbeveiligingsupdates uit te geven sinds de begin van het jaar en het versnellen van de release van een geplande patch. Het heeft ook de standaardinstelling van de beveiligingsopties voor Java-applets te hoog gemaakt, waardoor wordt voorkomen dat webgebaseerde Java-toepassingen binnen browsers worden uitgevoerd zonder bevestiging van de gebruiker.

Beveiligingsdeskundigen zeggen dat dit een goed begin is, maar denk dat er meer moet worden gedaan om de browsers te vergroten de acceptatiegraad voor updates en het verbeteren van het beheer van Java-beveiligingscontroles in bedrijfsomgevingen. Wat nog belangrijker is, zeggen ze, Oracle zou de Java-code grondig moeten herzien om de basisbeveiligingsproblemen te identificeren en op te lossen. Ze geloven dat Java vandaag veiliger zou zijn als Oracle de waarschuwingen van de beveiligingsbranche in de loop der jaren had geluisterd.

"Het is moeilijk om te zeggen wat er de afgelopen jaren intern bij Oracle is gebeurd, maar op basis van een externe indruk die ik voel ze hadden eerder kunnen reageren ", zei Carsten Eiram, hoofdonderzoeker bij adviesbureau Risk Based Security, via e-mail. "Ik weet niet zeker of Oracle de voorspellingen van Java als het volgende grote doelwit serieus nam."

Het is onwaarschijnlijk dat Oracle de recente aanvallen had kunnen voorkomen, zei hij, maar het zou beter zijn als het eerder had gehandeld om zijn code te beveiligen en meer beveiligingslagen toe te voegen.

"Ik denk dat de huidige staat van Java-beveiliging te wijten is aan het feit dat Sun Java zeer sterk pushte toen ze het nog steeds bezaten," zei Costin Raiu, directeur van het wereldwijde onderzoek en analyseteam bij Kaspersky Lab, via e-mail. "Nadat Oracle Java had aangeschaft, is er misschien weinig belangstelling voor dit project geweest."

Oracle heeft Java overgenomen toen het Sun Microsystems in 2010 kocht. De software is wereldwijd geïnstalleerd op 1,1 miljard desktopcomputers, volgens informatie op Java.com. De wijdverspreide implementatie en platformonafhankelijkheid maken het een aantrekkelijk doelwit voor hackers. Onderzoekers van Security Explorations, een Pools onderzoeksbureau voor kwetsbaarheden, hebben 55 kwetsbaarheden gevonden en gerapporteerd in de Java-runtimes die Oracle, IBM en Apple het afgelopen jaar hebben onderhouden, waarvan 36 in de versie van Oracle.

"In april 2012 rapporteerden we 30 beveiligingsproblemen voor Oracle met betrekking tot Java SE 7," Adam Gowdiak, Security Explorations 'oprichter, zei via e-mail. "Dit was rond dezelfde tijd dat de Trojaanse paarden van Flashback Mac OS in het wild werden gevonden. Beide hadden moeten werken als een wake-up call voor Oracle. "

Kaspersky Lab heeft gemeld dat vorig jaar op een gegeven moment één op de drie gebruikers een versie van Java draaide die kwetsbaar was voor een van de vijf belangrijkste exploits die door hackers. Op piekmomenten was meer dan 60 procent van de gebruikers geïnstalleerd met een kwetsbare Java-versie.

Het zou nuttig kunnen zijn voor consumenten om een ​​stil, automatisch update-mechanisme zoals dat in Chrome, Flash Player, Adobe Reader en andere software beschikbaar te stellen, zei Eiram. Bedrijven zullen dergelijke functies echter waarschijnlijk uitschakelen, zei hij.

Beginnend met Java 7 Update 10, uitgebracht in december, heeft Oracle nieuwe opties in het Java-configuratiescherm geboden waarmee gebruikers de Java-plug-in van browsers kunnen uitschakelen of Java forceren. vraag om bevestiging voordat Java-applets worden uitgevoerd. Sinds Java 7 Update 11 is de standaardinstelling voor dit mechanisme te hoog ingesteld, waardoor wordt voorkomen dat niet-ondertekende Java-applets automatisch worden uitgevoerd zonder gebruikersbevestiging.

"Ik geloof dat de nieuwe beveiligingsfuncties in Java laten zien dat Oracle de goede kant opgaat ", zegt Wolfgang Kandek, CTO van Qualys, die producten voor het beheer van kwetsbaarheden en nalevingsproducten voor het beleid verkoopt. Door Java nog configureerbaarder te maken zouden IT-beheerders het kunnen gebruiken op een manier die voldoet aan de vereisten van hun organisaties.

"Ik zou white-listingmogelijkheden in Java willen verwelkomen, dat wil zeggen, alle websites behalve goedgekeurde sites verbieden om het appletmechanisme te gebruiken, "Zei Kandek. "Tegelijkertijd moet het centrale beheer van de Java-configuratiemogelijkheden, dwz via Windows GPO [Groepsbeleid], worden verbeterd."

Kandek gelooft dat Oracle voor een grotere uitdaging staat om Java te beveiligen tegen aanvallen dan andere softwarebedrijven deden met hun eigen producten. "Java is een complete programmeertaal en moet in staat zijn om het volledige scala aan acties uit te voeren … inclusief low-level besturingssysteemtaken."

Dat gezegd hebbende, zeiden Eiram en Gowdiak beiden dat Oracle de kwaliteit van zijn Java-code moet verbeteren vanuit een beveiligingsperspectief, omdat het op dit moment relatief eenvoudig is om kwetsbaarheden te vinden.

"Softwareleveranciers hebben de verantwoordelijkheid om veilige code van een bepaalde kwaliteit te leveren, en verkopers van wijdverspreide software zoals Flash Player of Java hebben gewoon geen excuus," Eiram zei. "Adobe besefte dit en heeft serieuze en succesvolle pogingen gedaan om hun code te verbeteren. Microsoft deed hetzelfde vele jaren geleden. Het is tijd voor Oracle om in die voetsporen te treden. "

Er zijn aanwijzingen dat de ontwikkelaars van Oracle zich niet bewust zijn van de beveiligingskuilen van Java en dat de codebeveiligingsreviews helemaal niet of niet uitgebreid genoeg zijn, zei Gowdiak. Veel van de door Security Explorations geïdentificeerde problemen schenden de veilige codeerrichtlijnen van Oracle voor Java, zei hij.

"We hebben veel tekortkomingen gevonden die door het bedrijf moesten worden geëlimineerd ten tijde van een uitgebreide beveiligingsbeoordeling van het platform voorafgaand aan zijn release, "zei Gowdiak.

Oracle zou een solide Secure Development Lifecycle voor Java moeten implementeren om elementaire kwetsbaarheden weg te nemen en de rijpheid van de code te vergroten, zei Eiram. Een SDL is een softwareontwikkelingsproces dat de nadruk legt op beoordelingen van codebeveiliging en veilige ontwikkelingspraktijken om kwetsbaarheden te verminderen.

De beste aanpak zou zijn om ervoor te zorgen dat ontwikkelaars goed zijn opgeleid door interne trainingssessies te houden, zoals Microsoft deed, en de bestaande code te herzien met hulp van externe auditors, zei Eiram. "Oracle kan net zo goed enkele ervaren onderzoekers contracteren die hun code sowieso bekijken."

Oracle heeft gezegd dat het de patchcyclus voor Java van 4 maanden naar 2 maanden zou versnellen en beloofde om beter te communiceren over Java-beveiligingsproblemen met alle doelgroepen, inclusief consumenten, IT-professionals, pers en beveiligingsonderzoekers. De lange tussenpozen tussen Java-beveiligingsupdates en Oracle's gebrek aan communicatie over beveiliging zijn al lang bekritiseerd.

"Het zal interessant zijn om te zien of ze hun belofte om beter te communiceren met het publiek en de pers zullen eren. In het verleden waren ze - naar mijn mening - ronduit arrogant en weigerden commentaar te leveren op gemelde kwetsbaarheden, en zelfs hun geldigheid, "zei Eiram.

Het beleid om geen commentaar te geven op beveiligingsproblemen, waarvan Oracle zei dat het nodig was om te beschermen gebruikers, waardoor gebruikers niet wisten of extern gemelde bedreigingen reëel waren of wat Oracle aan het doen was, zei hij. "Deze benadering van veiligheid en reactievermogen hoort in het vorige millennium."

Beveiligingsdeskundigen verwachten niet dat Oracle alle problemen in de nabije toekomst op een manier zal oplossen die vastberaden aanvallers afschrikt.

"Ik voorzie niet Java's beveiligingsproblemen eindigen binnenkort, "zei Eiram. "Het duurde even voor Microsoft en Adobe om de boot rond te draaien, en hun producten zijn nu nog steeds onderworpen aan zero-day [exploits]. Java heeft veel te bieden aan aanvallers, dus ik verwacht dat ze er nu hun focus op zullen blijven houden. "

" Ik zou niet snel oplossingen verwachten, "zei Kandek. "IT-beheerders moeten hun tijd investeren om te begrijpen waar ze Java op de desktop nodig hebben en waar ze het kunnen beperken." Deskundigheidsdeskundigen zijn het erover eens dat Java moet worden uitgeschakeld waar het niet nodig is, tenminste niet op browserniveau. Veel gebruikers weten niet eens dat ze Java op hun computer hebben geïnstalleerd. Dat is waarschijnlijk de reden waarom Google en Mozilla ervoor hebben gekozen om de Java-plug-in in Chrome en Firefox te beperken, aldus Raiu.

Apple heeft ook kwetsbare versies van de Java-plug-in op Mac OS X op de zwarte lijst gezet en Windows heeft een registerinstelling die het Java-gebruik in Internet Explorer naar vertrouwde websites.

Hoewel veel thuisgebruikers geen Java nodig hebben in hun browsers, kunnen mensen in sommige delen van de wereld dat wel doen. In Denemarken gebruiken bijvoorbeeld websites voor online bankieren en overheid een inlogmechanisme met de naam NemID dat Java-ondersteuning vereist, zei Eiram. Vergelijkbare gevallen kunnen in andere landen voorkomen.

In die gevallen kan het gebruik van de click-to-play-functie in Chrome en Firefox of het Zones-mechanisme in IE worden gebruikt om Java-inhoud alleen van bepaalde websites te laten laden. Een minder technische oplossing zou zijn om een ​​browser te gebruiken met Java uitgeschakeld voor algemene taken en een andere browser met Java ingeschakeld voor vertrouwde websites die Java-ondersteuning nodig hebben.

Het beperken van het gebruik van Java in bedrijfsomgevingen is moeilijker. Veel bedrijven gebruiken interne en externe webtoepassingen waarvoor de Java-browserinvoegtoepassing moet worden uitgevoerd. Functies zoals click-to-play zijn niet geschikt voor bedrijfsomgevingen waar beleid centraal moet worden beheerd en gehandhaafd.

"Door Java meer configureerbaar te maken, kunnen IT-beheerders Java op de juiste manier implementeren voor de vereisten van de organisatie," zei Kandek. "Hogere standaardbeveiligingsniveaus en het eenvoudig loskoppelen van de browser zijn een goed begin, maar ik geloof dat we de white-listingmogelijkheden van browsers of de Java-plug-ins moeten verbeteren."

Momenteel is het zonemechanisme in IE biedt de meest schaalbare beheermogelijkheden voor de Java-plug-in in bedrijfsomgevingen, zei Kandek.

De recente golf van op Java gebaseerde aanvallen, waaronder de aanval die resulteerde in beveiligingsinbreuken bij Microsoft, Facebook, Apple en Twitter, kan Java's beschadigd hebben reputatie, zei Eiram. Maar als bedrijven vertrouwen hadden in Java als zijnde veilig en beschermd, "hebben ze al een tijdje niet gewaakt over de overvloedige waarschuwingen van onderzoekers," zei hij.

Het is niet alleen de reputatie van Java die mogelijk is beschadigd. Het is waarschijnlijk dat sommige bedrijven vragen of de slechte beveiliging van Java wordt weerspiegeld in andere Oracle-producten, zei Gowdiak.

"Bedrijven in het algemeen migreren naar pure HTML5-gebaseerde applicaties en gaan weg van plug-ins zoals Flash, Silverlight en Java, "zei Kandek. "Java zal aan de serverkant blijven groeien, waar zijn krachtige verwerkingscapaciteiten absoluut nodig zijn."