自今年年初以来,黑客一直在利用Java的漏洞,对微软(Microsoft)、苹果(Apple)、Facebook和Twitter等公司以及家庭用户发起一系列攻击。甲骨文已努力加快对这些威胁的响应,并加强其Java软件,但安全专家表示,攻击不太可能很快停止。
就在本周,安全研究人员表示,最近被揭露的事件背后的黑客MiniDuke网络间谍活动使用基于Web的攻击的Java和Internet Explorer 8,与ADOBE READER一起利用,危及他们的目标。上个月,MiniDuke恶意软件感染的计算机59属于政府机构,研究机构,智库和私营公司来自23个国家。
[图辑:最大的安全神话13破获]
Java的漏洞使用MiniDuke目标,在攻击的时候还没有被修补由Oracle中的漏洞,卡巴斯基实验室在说博客文章。在补丁发布之前公开或利用的漏洞被称为零日漏洞,今年针对Java的攻击就使用了其中的几个漏洞。
今年2月,来自微软(Microsoft)、苹果(Apple)、Facebook和Twitter的软件工程师在访问了一个iOS开发者社区网站后,他们的工作笔记本电脑感染了恶意软件操纵与Java零日漏洞。该漏洞是一个更大的“水坑”攻击来自多个网站发起的结果也影响到政府机构和其他行业的企业,安全莱杰报道。
Oracle通过自今年开始发出两个紧急安全更新和加速计划的补丁发布回应的攻击。它也提高了安全控件的默认设置为Java小应用程序高,防止基于Web的Java应用程序从无需用户确认浏览器内执行。
安全专家说,这是一个良好的开端,但认为应该做更多,以提高更新的采用率和提高Java的安全控制管理在企业环境中。更重要的是,他们说,甲骨文应该彻底检讨其Java代码来识别和修复的基本安全问题。他们认为Java的今天会更安全,如果甲骨文已经听取了安防行业的警告,在过去几年。
“很难说什么已经在内部甲骨文在过去的几年中事,但基于外部印象,我觉得他们可以更快反应,”卡斯滕Eiram,在咨询公司基于风险的安全性,通过电子邮件首席研究官说。“我不知道甲骨文真正走上了Java的预测是未来的主要目标认真。”
这是不可能甲骨文可能阻止最近的袭击,他说,但是这将是一个更好的位置,如果它越早采取行动,以确保其代码和增加安全性的更多层。
“我认为Java安全的现状是由于Sun公司的Java推强烈的时候,他们仍然拥有它,”海东青RAIU,全球研究和分析团队在卡巴斯基实验室的主任说,通过电子邮件。“甲骨文的Java购买后,也许没有多大兴趣走进这个项目。”
Oracle在2010年收购Sun Microsystems时收购了Java。据Java.com的信息显示,全世界有11亿台台式电脑安装了该软件。它的广泛部署和跨平台特性使其成为黑客的一个有吸引力的目标。波兰漏洞研究公司Security exploration的研究人员在过去一年中发现并报告了甲骨文(Oracle)、IBM和苹果(Apple)维护的Java运行时中的55个漏洞,其中36个是甲骨文版本的。
“在2012年4月,我们向Oracle报告了30个影响Java SE 7的安全问题,”security的创始人Adam Gowdiak通过电子邮件说。这大约是在同一时间,Mac OS特洛伊木马在野外被发现。这两家公司都应该为甲骨文敲响警钟。”
卡巴斯基实验室已经报道,在去年任何给定的时间,三分之一的用户正在运行的Java版本,这是容易被黑客利用五大漏洞之一。在高峰时期,用户的60%以上都安装了易受攻击的Java版本。
提供了类似Chrome中发现了一个无声的自动更新机制,Flash播放器,Adobe Reader和其他软件可能会有所帮助消费者,Eiram说。然而,企业可能会禁用这些功能,他说。
与Java 7更新10,12月份发布开始,Oracle提供了Java的控制面板,使用户可以从浏览器中禁用Java插件或迫使Java来请求确认Java小应用程序execute.A由于Java 7更新11之前新的选择,该机制的默认设置已经被设置为高,防止无需用户确认自动运行未签名的Java小程序。
“我相信,Java的新安全特性表明,甲骨文正在朝着正确的方向前进,”Qualys的首席技术官沃尔夫冈•坎德克(Wolfgang Kandek)表示。该公司销售漏洞管理和政策合规产品。使Java更具可配置性将有助于IT管理员以满足其组织需求的方式部署Java。
“我欢迎白名单功能在Java中,即禁止所有,但已批准的网站使用小程序机制,” Kandek说。“与此同时,在Java配置功能的集中管理,即通过Windows GPO [组策略],应加以改进。”
Kandek认为甲骨文面临的反对比其他软件公司凭借自身的产品做攻击的Java硬化更大的挑战。“Java是一个完整的编程语言,并需要能够执行的操作的完整域...包括低级别的操作系统任务。”
这就是说,Eiram和Gowdiak都表示,甲骨文需要改进的从安全角度来看它的Java代码的质量,因为现在它比较容易找到漏洞。
Eiram说:“软件供应商有责任提供一定质量的安全代码,而像Flash Player或Java这样广泛部署的软件供应商没有任何借口。”Adobe意识到了这一点,并作出了认真和成功的努力来改进他们的代码。微软多年前也做过同样的事情。是时候让甲骨文步其后尘了。”
种种迹象表明,甲骨文公司的开发人员不知道Java的安全隐患和代码安全审查要么根本没有或不够全面完成,Gowdiak说。许多保安探索发现的问题侵犯甲骨文自己安全编码指南针对Java,他说。
“我们发现,本应在发行前的平台进行了全面的安全审查时被淘汰了由该公司的许多缺陷,” Gowdiak说。
Eiram说,Oracle应该为Java实现一个可靠的安全开发生命周期,以清除基本的漏洞并提高代码的成熟度。SDL是一个软件开发过程,它强调代码安全检查和安全开发实践,以减少漏洞。
最好的办法是,以确保开发人员通过举办内部培训课程,为微软做了适当的培训,并审查与外部审计师的帮助现有的代码,Eiram说。“甲骨文还不如合同中的技术研究人员谁是反正看着自己的代码。”
甲骨文公司表示,它将从4个月加速Java的补丁周期为2个月,承诺更好地交流有关与所有观众,包括消费者,IT专业人士,媒体和安全研究人员的Java安全问题。Java的安全更新和Oracle缺乏安全通信之间的间隔很长很早就被人诟病。
“这将是有趣的,看看他们是否会履行他们与公众和媒体更好沟通的承诺,在过去,他们有 - 在我看来 - 已经彻头彻尾的傲慢和拒绝评论报告的漏洞,甚至它们的有效性” Eiram说。
不评论在安全问题上的政策,甲骨文公司表示,有必要保护用户,导致用户不知道,如果外部报告的威胁是真实的还是甲骨文在做他们,他说。“这种做法对安全性和响应属于在前面千年。”
安全专家并不指望甲骨文能在不久的将来解决所有的问题,阻止那些有决心的攻击者。
“我没有预见到即将结束的任何时候Java的安全问题,” Eiram说。“我们花了两个微软和Adobe一段时间才能扭转了船,他们的产品仍然受到零日。[利用现在然后Java有很多提供攻击者,所以我希望他们保持专注就可以了目前。”
“我不希望任何的解决方案很快,” Kandek说。“IT管理员应该投资自己的时间,了解他们需要的台式机和在那里他们可以限制它了Java。”
安全专家认为,在不需要Java的地方应该禁用它,至少在浏览器级别上是这样。许多用户甚至不知道他们的计算机上已经安装了Java。这可能就是为什么谷歌和Mozilla选择在Chrome和Firefox中限制Java插件的原因,Raiu说。
苹果还将Mac OS X上的Java插件列入了黑名单注册表设置这可以限制在Internet Explorer中的Java使用受信任的网站。
虽然许多家庭用户在浏览器中不需要Java,但世界上某些地方的人可能需要。例如,在丹麦,网上银行和政府网站使用一种称为NemID的登录机制,需要Java支持,Eiram说。其他国家可能也有类似的情况。
在这种情况下,使用Chrome和Firefox或IE中的区域机制的点击播放功能,可以用来让Java内容的负载只对某些网站。技术含量更低的解决方案是使用一个浏览器与Java的总任务是禁用的,不同的浏览器和Java可信网站需要Java支持功能。
在企业环境中限制Java的使用更加困难。许多公司使用内部和外部基于web的应用程序,这些应用程序需要Java浏览器插件才能运行。像点击播放这样的功能并不适合需要集中管理和执行策略的企业环境。
“让更多的Java配置将有助于它在正确的时尚组织的要求管理员部署Java的,” Kandek说。“更高的默认安全级别,并从浏览器中容易脱节是一个良好的开端,但我相信,我们需要提高浏览器的白名单功能或Java插件。”
目前,IE中的区域机制为企业环境中的Java插件提供了最可伸缩的管理功能,Kandek说。
最近的基于Java的攻击,其中包括导致在微软,Facebook和苹果和Twitter的安全漏洞的一个浪潮,可能会破坏Java的声誉,Eiram说。但是,如果企业在Java中有信心为安全可靠的,“他们没有被听取研究人员的同时,提供丰满的警告,”他说。
这不仅是可能已损坏Java的声誉。很可能一些企业要求Java的安全性差是否反映在其他Oracle产品,Gowdiak说。
Eiram希望最近的攻击能够促使公司重新评估他们的环境中是否需要Java。
“一般的企业迁移到纯HTML5应用程序和插件,从如Flash,Silverlight和Java的逐渐远离,” Kandek说。“Java将继续在服务器端,在其强大的处理能力是绝对需要的增长。”