Ricercatori: problemi di sicurezza Java difficilmente risolti a breve

Dall'inizio dell'anno, gli hacker hanno sfruttato le vulnerabilità in Java effettuare una serie di attacchi contro aziende come Microsoft, Apple, Facebook e Twitter, così come gli utenti domestici. Oracle ha compiuto uno sforzo per rispondere più rapidamente alle minacce e rafforzare il suo software Java, ma gli esperti di sicurezza dicono che gli attacchi difficilmente lasceranno presto.

Proprio questa settimana, i ricercatori della sicurezza hanno detto che gli hacker dietro il MiniDuke scoperto di recente La campagna di cyberespionaggio ha utilizzato exploit basati sul Web per Java e Internet Explorer 8, insieme a un exploit di Adobe Reader, per compromettere i propri obiettivi. Il mese scorso, il malware MiniDuke ha infettato 59 computer appartenenti a organizzazioni governative, istituti di ricerca, think tank e società private di 23 paesi.

L'exploit Java utilizzato da MiniDuke ha individuato una vulnerabilità che non era stata patchata da Oracle al momento della gli attacchi, ha detto Kaspersky Lab in un post sul blog. Le vulnerabilità rese pubbliche o sfruttate prima che venga rilasciata una patch sono note come vulnerabilità zero-day, molte delle quali sono state utilizzate negli attacchi contro Java quest'anno.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

A febbraio, gli ingegneri del software di Microsoft, Apple, Facebook e Twitter hanno infettato i loro laptop da lavoro con malware dopo aver visitato un sito Web della comunità per sviluppatori iOS che sono stati truccati con un exploit Java zero-day. Le violazioni sono il risultato di un attacco "watering hole" più ampio lanciato da più siti Web che ha colpito anche le agenzie governative e le aziende di altri settori, riporta The Security Ledger.

Oracle ha risposto agli attacchi emettendo due aggiornamenti di sicurezza di emergenza dal inizio dell'anno e accelerazione del rilascio di una patch programmata. Ha anche innalzato le impostazioni predefinite dei controlli di sicurezza per le applet Java, impedendo l'esecuzione di applicazioni Java basate su Web all'interno dei browser senza la conferma dell'utente.

Gli esperti di sicurezza dicono che questo è un buon inizio, ma si deve pensare di più per aumentare il tasso di adozione per gli aggiornamenti e per migliorare la gestione dei controlli di sicurezza Java negli ambienti aziendali. Ancora più importante, dicono, Oracle dovrebbe rivedere completamente il suo codice Java per identificare e risolvere i problemi di sicurezza di base. Credono che Java sarebbe più sicuro oggi se Oracle avesse ascoltato gli avvertimenti del settore della sicurezza nel corso degli anni.

"È difficile dire cosa sta succedendo internamente a Oracle negli ultimi anni, ma sulla base di un'impressione esterna che sento avrebbero potuto reagire prima ", ha detto Carsten Eiram, responsabile della ricerca presso la società di consulenza Risk Based Security, via e-mail. "Non sono sicuro che Oracle abbia davvero preso sul serio le previsioni di Java come il prossimo obiettivo principale."

È improbabile che Oracle abbia potuto prevenire i recenti attacchi, ha detto, ma sarebbe in una posizione migliore se avesse agito prima

"Penso che lo stato attuale della sicurezza Java sia dovuto al fatto che Sun ha spinto molto fortemente Java quando lo possedeva ancora", ha detto Costin Raiu, direttore della ricerca globale e team di analisi presso Kaspersky Lab, via email. "Dopo l'acquisto di Java da parte di Oracle, forse questo piccolo progetto ha avuto un piccolo interesse".

Oracle ha acquisito Java acquistando Sun Microsystems nel 2010. Il software è installato su 1,1 miliardi di computer desktop in tutto il mondo, secondo le informazioni di Java.com. La sua diffusione capillare e la sua natura multi-piattaforma ne fanno un obiettivo allettante per gli hacker. I ricercatori di Security Explorations, una società polacca di ricerca sulle vulnerabilità, hanno rilevato e segnalato 55 vulnerabilità nei runtime Java gestiti da Oracle, IBM e Apple nell'ultimo anno, 36 delle quali nella versione Oracle.

"Nell'aprile del 2012, abbiamo segnalato 30 problemi di sicurezza a Oracle che riguardavano Java SE 7", ha dichiarato Adam Gowdiak, fondatore di Security Explorations, via email. "Questo era all'incirca nello stesso periodo in cui il trojan Flashback Mac OS veniva trovato in libertà. Entrambi avrebbero dovuto funzionare come sveglia per Oracle. "

Kaspersky Lab ha riferito che in un dato momento l'anno scorso, uno su tre utenti stava eseguendo una versione di Java che era vulnerabile a uno dei cinque exploit principali utilizzati da hacker. Nelle ore di punta, oltre il 60% degli utenti aveva installato una versione Java vulnerabile.

Fornire un meccanismo di aggiornamento automatico e silenzioso come quello trovato in Chrome, Flash Player, Adobe Reader e altri software potrebbe essere utile per i consumatori, ha affermato Eiram. Tuttavia, le aziende probabilmente disabiliteranno tali funzionalità, ha detto.

A partire da Java 7 Update 10, rilasciato a dicembre, Oracle ha fornito nuove opzioni nel pannello di controllo Java che consentono agli utenti di disabilitare il plugin Java dai browser o forzare Java a richiesta di conferma prima che vengano eseguite le applet Java. A partire da Java 7 Update 11, l'impostazione predefinita per questo meccanismo è stata impostata su alta, impedendo l'esecuzione automatica di applet Java senza firma.

"Credo che le nuove funzionalità di sicurezza in Java dimostrare che Oracle si sta muovendo nella giusta direzione ", ha affermato Wolfgang Kandek, CTO di Qualys, che vende prodotti per la gestione delle vulnerabilità e la conformità alle policy. Rendere ancora più configurabile Java aiuterebbe gli amministratori IT a distribuirlo in un modo che soddisfi i requisiti delle loro organizzazioni.

"Gradirei le funzionalità di white list in Java, ovvero proibendo a tutti i siti approvati di usare il meccanismo dell'applet, "Ha detto Kandek. "Allo stesso tempo, la gestione centralizzata delle capacità di configurazione Java, vale a dire tramite GPO di Windows [Criteri di gruppo], dovrebbe essere migliorata."

Kandek crede che Oracle affronti una sfida più grande nell'indurire Java dagli attacchi di quanto non abbiano fatto altre società di software i loro prodotti. "Java è un linguaggio di programmazione completo e deve essere in grado di eseguire l'intera gamma di azioni … comprese le attività del sistema operativo di basso livello."

Detto questo, Eiram e Gowdiak hanno entrambi affermato che Oracle ha bisogno di migliorare la qualità del proprio codice Java dal punto di vista della sicurezza, perché al momento è relativamente facile trovare vulnerabilità.

"I fornitori di software hanno la responsabilità di fornire un codice sicuro di una certa qualità, e i fornitori di software ampiamente diffuso come Flash Player o Java non hanno scuse" Disse Eiram. "Adobe lo ha capito e ha compiuto uno sforzo serio e di successo per migliorare il proprio codice. Microsoft ha fatto lo stesso molti anni fa. È tempo che Oracle segua queste orme. "

Ci sono indicazioni che gli sviluppatori di Oracle non siano consapevoli delle insidie ​​della sicurezza di Java e che le revisioni sulla sicurezza del codice non siano affatto o non abbastanza complete, ha detto Gowdiak. Molti dei problemi identificati da Security Explorations violano le linee guida di codifica sicura di Oracle per Java, ha affermato.

"Abbiamo riscontrato numerosi difetti che avrebbero dovuto essere eliminati dall'azienda al momento di una revisione completa della sicurezza della piattaforma prima della sua rilascio ", ha detto Gowdiak.

Oracle dovrebbe implementare un solido ciclo di sviluppo sicuro per Java per eliminare le vulnerabilità di base e aumentare la maturità del codice, ha detto Eiram. Un SDL è un processo di sviluppo del software che enfatizza le revisioni sulla sicurezza del codice e pratiche di sviluppo sicure per ridurre le vulnerabilità.

L'approccio migliore sarebbe quello di garantire che gli sviluppatori siano adeguatamente formati tenendo sessioni di formazione interne, come Microsoft, e per rivedere il codice esistente con l'aiuto di revisori esterni, ha detto Eiram. "Oracle potrebbe anche contrarre alcuni dei ricercatori qualificati che stanno comunque studiando il loro codice."

Oracle ha affermato che accelererà il ciclo di patching per Java da 4 mesi a 2 mesi e promette di comunicare meglio sui problemi di sicurezza di Java con tutto il pubblico, compresi i consumatori, i professionisti IT, i ricercatori della stampa e della sicurezza. I lunghi intervalli tra gli aggiornamenti della sicurezza Java e la mancanza di comunicazione di Oracle sulla sicurezza sono stati a lungo criticati.

"Sarà interessante vedere se onoreranno la loro promessa di comunicare meglio con il pubblico e la stampa. In passato, a mio parere, sono stati decisamente arroganti e hanno rifiutato di commentare le vulnerabilità segnalate e persino la loro validità ", ha detto Eiram.

La politica di non commentare le questioni di sicurezza, che Oracle ha detto che era necessario proteggere gli utenti, ha portato gli utenti a non sapere se le minacce riportate esternamente fossero reali o che cosa stesse facendo Oracle su di loro, ha detto. "Questo approccio alla sicurezza e alla reattività appartiene al millennio precedente."

Gli esperti di sicurezza non si aspettano che Oracle risolva tutti i problemi nel prossimo futuro in modo da scoraggiare determinati aggressori.

"Non prevedo I problemi di sicurezza di Java finiscono presto, "ha affermato Eiram. "Ci sono voluti sia Microsoft che Adobe per far girare la barca, ei loro prodotti sono ancora soggetti a exploit zero day di tanto in tanto. Java ha molto da offrire agli aggressori, quindi mi aspetto che continuino a concentrarsi su di esso per ora. "

" Non mi aspetterei soluzioni in tempi brevi ", ha detto Kandek. "Gli amministratori IT dovrebbero investire il loro tempo per capire dove hanno bisogno di Java sul desktop e dove possono limitarlo."

Gli esperti di sicurezza concordano sul fatto che Java debba essere disabilitato dove non è necessario, almeno a livello di browser. Molti utenti non sanno nemmeno di avere Java installato sui loro computer. Probabilmente Google e Mozilla hanno scelto di limitare il plug-in Java in Chrome e Firefox, ha detto Raiu.

Apple ha anche inserito nella blacklist le versioni vulnerabili del plugin Java su Mac OS X e Windows ha un'impostazione del registro che può limitare l'uso di Java in Internet Explorer per siti Web affidabili.

Mentre molti utenti domestici non hanno bisogno di Java nei loro browser, le persone in alcune parti del mondo potrebbero. In Danimarca, ad esempio, i siti web bancari e governativi online utilizzano un meccanismo di accesso denominato NemID che richiede il supporto Java, ha affermato Eiram. Casi simili potrebbero esistere in altri paesi.

In questi casi, è possibile utilizzare la funzionalità click-to-play in Chrome e Firefox o il meccanismo Zones in IE per consentire il caricamento del contenuto Java solo da determinati siti Web. Una soluzione meno tecnica sarebbe quella di utilizzare un browser con Java disabilitato per le attività generali e un altro browser con Java abilitato per i siti Web attendibili che necessitano di supporto Java.

Limitare l'uso di Java negli ambienti aziendali è più difficile. Molte aziende utilizzano applicazioni Web interne ed esterne che richiedono l'esecuzione del plug-in del browser Java. Funzionalità come il click-to-play non sono adatte agli ambienti aziendali in cui le policy devono essere gestite e applicate centralmente.

"Rendere configurabile Java aiuterà gli amministratori IT a implementare Java nel modo giusto per i requisiti dell'organizzazione", ha affermato Kandek. "I più alti livelli di sicurezza predefiniti e la facile disconnessione dal browser sono un buon inizio, ma credo che avremo bisogno di migliorare le funzionalità di white list dei browser o dei plugin Java."

Per il momento, il meccanismo Zone in IE Offre le funzionalità di gestione più scalabili per il plug-in Java negli ambienti aziendali, ha affermato Kandek.

La recente ondata di attacchi basati su Java, incluso quello che ha provocato violazioni della sicurezza in Microsoft, Facebook, Apple e Twitter, potrebbe aver danneggiato Java reputazione, ha detto Eiram. Ma se le aziende avessero fiducia in Java come sicure e protette, "non hanno prestato attenzione ai numerosi avvertimenti forniti dai ricercatori per un po '", ha detto.

Non è solo la reputazione di Java che potrebbe essere stata danneggiata. È probabile che alcune società si chiedano se la scarsa sicurezza di Java si rifletta in altri prodotti Oracle, ha detto Gowdiak.

Eiram spera che i recenti attacchi inducano le aziende a rivalutare se hanno bisogno di Java nei loro ambienti.

"Aziende in generale stanno migrando a semplici applicazioni basate su HTML5 e si stanno allontanando da plugin come Flash, Silverlight e Java ", ha affermato Kandek. "Java continuerà a crescere sul lato server, dove le sue potenti capacità di elaborazione sono assolutamente necessarie."