Forskare: Java: s säkerhetsproblem kommer osannolikt att lösas snart

Hackare har sedan början av året utnyttjat sårbarheter i Java att utföra en rad angrepp mot företag, inklusive Microsoft, Apple, Facebook och Twitter, samt hemanvändare. Oracle har försökt att reagera snabbare mot hoten och att stärka sin Java-programvara, men säkerhetsexperter säger att attackerna inte kommer att släppas någon gång snart.

Säkerhetsforskare sa bara hackarna bakom den nyligen avslöjade MiniDuke cyberespionage-kampanjen används webbaserade exploater för Java och Internet Explorer 8, tillsammans med ett Adobe Reader-utnyttjande, för att kompromissa med sina mål. I förra månaden smittade MiniDuke malware 59 datorer som tillhör myndigheter, forskningsinstitut, tankar och privata företag från 23 länder.

Den Java exploit som användes av MiniDuke riktade sig till en sårbarhet som inte hade patchats av Oracle vid tidpunkten för attackerna sa Kaspersky Lab i ett blogginlägg. Sårbarheter som publiceras eller exploateras innan en korrigeringsfil släpps är känd som olyckor med nollagd, varav flera har använts i attackerna mot Java i år.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

I februari hade mjukvaruingenjörer från Microsoft, Apple, Facebook och Twitter sina jobb bärbara datorer infekterade med skadlig programvara efter att ha besökt en communitywebbplats för iOS-utvecklare som hade riggerats med en Java-nolldagsutnyttjande. Överträdelserna berodde på ett större angreppsspel från flera webbplatser som också påverkat myndigheter och företag i andra branscher, rapporterade Security Ledger.

Oracle har svarat på attackerna genom att utfärda två nödsäkerhetsuppdateringar sedan början av året och påskynda utsläppandet av en schemalagd patch. Det har också höjt standardinställningen för säkerhetskontrollerna för Java-appletar till höga, vilket hindrar webbaserade Java-program från att exekveras i webbläsare utan användarbekräftelse.

Säkerhetsexperter säger att detta är en bra start men tror att fler ska göras för att öka antagningsgraden för uppdateringar och för att förbättra hanteringen av Java-säkerhetskontroller i företagsmiljöer. Ännu viktigare, säger de, Oracle bör noggrant granska sin Java-kod för att identifiera och åtgärda de grundläggande säkerhetsproblemen. De tror att Java skulle vara säkrare idag om Oracle hade lyssnat på säkerhetsbranschens varningar under åren.

"Det är svårt att säga vad som har hänt internt i Oracle de senaste åren men baserat på ett externt intryck som jag känner De kunde ha reagerat tidigare, säger Carsten Eiram, chefforskare vid konsultföretaget Risk Based Security, via e-post. "Jag är inte säker på att Oracle verkligen tog förutsägelserna om att Java är nästa stora mål på allvar." Det är osannolikt att Oracle kunde ha förhindrat de senaste attackerna, sade han, men det skulle vara bättre om det hade handlat tidigare för att säkra sin kod och lägga till fler säkerhetslager.

"Jag tror att Java-säkerhetens nuvarande tillstånd beror på att Sun drev Java mycket starkt när de fortfarande ägde det", säger Costin Raiu, chef för den globala forskningen och analysteam på Kaspersky Lab via e-post. "Efter att Oracle köpte Java, kanske lite intresse gick in i det här projektet."

Oracle förvärvade Java när den köpt Sun Microsystems 2010. Mjukvaran installeras på 1,1 miljarder stationära datorer världen över, enligt information på Java.com. Den utbredda implementeringen och plattformen gör det till ett attraktivt mål för hackare. Forskare vid Security Explorations, ett polskt sårbarhetsforskningsföretag, har hittat och rapporterat 55 sårbarheter i Java runtime som underhållits av Oracle, IBM och Apple under det senaste året, 36 av dem i Oracle version.

"I april 2012 rapporterade vi 30 säkerhetsproblem till Oracle som påverkar Java SE 7," Adam Gowdiak, Security Explorations grundare, sade via e-post. "Det var ungefär samma gång som Flashback Mac OS trojan hittades i naturen. Båda borde ha arbetat som ett väckarklocka för Oracle. "

Kaspersky Lab har rapporterat att vid en viss tidpunkt förra året körde en av tre användare en version av Java som var sårbar för att en av fem stora utnyttjanden användes av hackare. Vid topptider hade över 60 procent av användarna en utsatt Java-version installerad.

Det kan vara till hjälp för konsumenterna, säger Eiram, att en tyst, automatisk uppdateringsmekanism som den som finns i Chrome, Flash Player, Adobe Reader och annan programvara kan vara till nytta. Men företag kommer sannolikt att inaktivera sådana funktioner, sa han.

Med början av Java 7 Update 10, som släpptes i december, har Oracle gett nya alternativ på kontrollpanelen i Java som tillåter användare att inaktivera Java-plugin från webbläsare eller tvinga Java till be om bekräftelse före Java-applets execute. Eftersom Java 7 Update 11 har standardinställningen för denna mekanism inställts till hög, förhindrar att unsigned Java applets körs automatiskt utan användarbekräftelse.

"Jag tror de nya säkerhetsfunktionerna i Java visar att Oracle går i rätt riktning ", säger Wolfgang Kandek, CTO of Qualys, som säljer sårbarhetshantering och policyöverensstämmelseprodukter. Att göra Java ännu mer konfigurerbar skulle hjälpa IT-administratörer att distribuera det på ett sätt som uppfyller kraven i deras organisationer.

"Jag skulle välkomna vitlistningsfunktioner i Java, dvs. att förbjuda alla men godkända webbplatser att använda appletmekanismen, "Sade Kandek. "Samtidigt bör central styrning av Java-konfigurationsmöjligheterna, det vill säga via Windows GPO [Grupprincip], förbättras."

Kandek anser att Oracle står inför en större utmaning att härda Java mot attacker än andra mjukvaruföretag gjorde med sina egna produkter. "Java är ett komplett programmeringsspråk och måste kunna utföra det fullständiga spektrumet av åtgärder … inklusive operationer på låg nivå."

Både Eiram och Gowdiak sa att Oracle måste förbättra kvaliteten på Java-koden från ett säkerhetsperspektiv, för just nu är det relativt lätt att hitta sårbarheter.

"Programvaruförsäljare har ett ansvar att tillhandahålla säker kod av en viss kvalitet, och leverantörer av brett utbyggd programvara som Flash Player eller Java har helt enkelt ingen ursäkt" Sade Eiram. "Adobe insåg det här och har gjort en seriös och framgångsrik insats för att förbättra sin kod. Microsoft gjorde samma för många år sedan. Det är dags för Oracle att följa i dessa fotspår. "

Det finns indikationer på att Oracles utvecklare är omedvetna om Java-säkerhetsfallen och att kodsäkerhetsrecensioner inte heller görs alls eller inte tillräckligt omfattande, sa Gowdiak. Många av de problem som identifierats av säkerhetsundersökningar bryter mot Oracles egna säkra kodningsriktlinjer för Java, säger han.

"Vi hittade många brister som borde ha eliminerats av företaget vid en omfattande säkerhetsgranskning av plattformen före dess släppa ", säger Gowdiak.

Oracle bör genomföra en stabil, säker utvecklingslivscykel för Java för att utrota grundläggande sårbarheter och öka kodens mognad, sade Eiram. En SDL är en mjukvaruutvecklingsprocess som betonar kodsäkerhetsbedömningar och säkra utvecklingsmetoder för att minska sårbarheter.

Det bästa sättet är att säkerställa att utvecklarna är välutbildade genom att hålla interna träningssessioner, som Microsoft gjorde, och att granska den befintliga koden med hjälp av externa revisorer, sade Eiram. "Oracle kan också komma ihåg några av de skickliga forskarna som tittar på deras kod ändå."

Oracle har sagt att det skulle påskynda patchcykeln för Java från 4 månader till 2 månader och lovade att kommunicera bättre om Java-säkerhetsproblem med all publik, inklusive konsumenter, IT-proffs, press- och säkerhetsforskare. De långa intervallerna mellan Java-säkerhetsuppdateringar och Oracle brist på kommunikation om säkerhet har länge kritiserats.

"Det blir intressant att se om de kommer att hedra sitt löfte att kommunicera bättre med allmänheten och pressa. Tidigare har de - enligt min mening - varit rena arroganta och vägrade kommentera rapporterade sårbarheter, och till och med deras giltighet, sade Eiram.

Politiken att inte kommentera säkerhetsfrågor, vilket Oracle sa var nödvändigt för att skydda användare, resulterade i att användarna inte visste om externt rapporterade hot var verkliga eller vad Oracle gjorde med dem, sa han. "Detta tillvägagångssätt för säkerhet och lyhördhet hör till det föregående årtusendet."

Säkerhetsexperter förväntar sig inte att Oracle löser alla problem inom en snar framtid på ett sätt som avskräcker bestämda angripare.

"Jag förutser inte Java säkerhetsproblem slutar helst snart, sade Eiram. "Det tog både Microsoft och Adobe ett tag att vända båten, och deras produkter är fortfarande föremål för nolldagar [utnyttjar] då och då. Java har mycket att erbjuda angripare, så jag förväntar mig att de ska hålla fokus på det för tillfället. "

" Jag skulle inte förvänta mig några lösningar snart, "sa Kandek. "IT-administratörer bör investera sin tid för att förstå var de behöver Java på skrivbordet och var de kan begränsa det."

Säkerhetsexperter är överens om att Java ska vara inaktiverat där det inte behövs, åtminstone på webbläsernivå. Många användare vet inte ens att de har Java installerat på sina datorer. Det är förmodligen varför Google och Mozilla valde att begränsa Java-plugin i Chrome och Firefox, sade Raiu.

Apple har också svartlistade sårbara versioner av Java-plugin på Mac OS X och Windows har en registerinställning som kan begränsa Java-användningen i Internet Explorer till betrodda webbplatser.

Medan många hemmabrukare inte behöver Java i sina webbläsare kan människor i vissa delar av världen. I Danmark använder exempelvis internetbank och offentliga webbplatser en inloggningsmekanism som heter NemID som kräver Java-stöd, sade Eiram. Liknande fall kan existera i andra länder.

I sådana fall kan användningen av klick-till-spel-funktionen i Chrome och Firefox eller Zones-mekanismen i IE användas för att låta Java-innehåll laddas från endast vissa webbplatser. En mindre teknisk lösning skulle vara att använda en webbläsare med Java inaktiverad för allmänna uppgifter och en annan webbläsare med Java aktiverad för pålitliga webbplatser som behöver Java-stöd.

Det är svårare att begränsa användningen av Java i företagsmiljöer. Många företag använder interna och externa webbaserade applikationer som kräver att Java-plugin ska köras. Funktioner som klick-till-spel är inte lämpliga för företagsmiljöer där politiken måste hanteras centralt och verkställas.

"Att göra Java mer konfigurerbar kommer att hjälpa IT-administratörer att distribuera Java på rätt sätt för organisationens krav", säger Kandek. "Högre standard säkerhetsnivåer och den lätta kopplingen från webbläsaren är en bra start, men jag tror att vi måste förbättra vitlistningsfunktionerna hos webbläsare eller Java-plugins."

För tillfället kan zonmekanismen i IE Den senaste vågen av Java-baserade attacker, inklusive den som resulterade i säkerhetsbrott i Microsoft, Facebook, Apple och Twitter, kan ha skadat Java: s rykte, sade Eiram. Men om företag hade förtroende för Java för att vara säkra, "har de inte lyssnat på de rikliga varningarna som forskare gav ett tag," sa han.

Det är inte bara Java: s rykte som kan ha blivit skadat. Det är troligt att vissa företag frågar om Java: s dåliga säkerhet återspeglas i andra Oracle-produkter, säger Gowdiak.

Eiram hoppas att de senaste attackerna kommer att få företagen att omvärdera om de behöver Java i sina miljöer.

"Företag i allmänhet migrerar till rena HTML5-baserade applikationer och flyttar sig bort från plugins som Flash, Silverlight och Java, säger Kandek. "Java fortsätter att växa på serverns sida, där dess kraftfulla bearbetningskapacitet är absolut nödvändiga."