Forscher: Javas Sicherheitsprobleme werden wahrscheinlich bald nicht gelöst

Seit Anfang des Jahres nutzen Hacker Schwachstellen in Java aus eine Reihe von Angriffen gegen Unternehmen wie Microsoft, Apple, Facebook und Twitter sowie Heimanwender durchzuführen. Oracle hat sich bemüht, schneller auf die Bedrohungen zu reagieren und seine Java-Software zu stärken, aber Sicherheitsexperten sagen, dass die Angriffe in absehbarer Zeit nicht nachlassen werden.

Erst in dieser Woche sagten Sicherheitsforscher die Hacker hinter der kürzlich aufgedeckten MiniDuke Die Cyberspionage-Kampagne nutzte Web-basierte Exploits für Java und Internet Explorer 8 zusammen mit einem Adobe Reader-Exploit, um ihre Ziele zu kompromittieren. Im vergangenen Monat infizierte die MiniDuke - Malware 59 Computer von Regierungsorganisationen, Forschungsinstituten, Think Tanks und privaten Unternehmen aus 23 Ländern.

Der von MiniDuke verwendete Java - Exploit richtete sich gegen eine Sicherheitslücke, die Oracle zu der Zeit noch nicht gepatcht hatte Die Angriffe, sagte Kaspersky Lab in einem Blog-Post. Sicherheitslücken, die vor der Veröffentlichung eines Patches öffentlich gemacht oder ausgenutzt werden, werden als Zero-Day-Sicherheitslücken bezeichnet, von denen einige in diesem Jahr gegen Java eingesetzt wurden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Im Februar hatten Software-Ingenieure von Microsoft, Apple, Facebook und Twitter ihre Arbeits-Laptops mit Malware infiziert, nachdem sie eine Community-Website für iOS-Entwickler besucht hatten, die mit einem Java-Zero-Day-Exploit manipuliert worden waren. Die Verstöße waren das Ergebnis eines größeren "Wasserloch" -Angriffs, der von mehreren Websites ausging, die auch Regierungsbehörden und Unternehmen anderer Branchen betrafen, berichtete das Security Ledger.

Oracle hat auf die Angriffe mit zwei Sicherheitsupdates reagiert Anfang des Jahres und beschleunigte die Veröffentlichung eines geplanten Patches. Es hat auch die Standardeinstellung der Sicherheitssteuerelemente für Java-Applets auf "hoch" gesetzt und verhindert, dass webbasierte Java-Anwendungen in Browsern ohne Benutzerbestätigung ausgeführt werden.

Sicherheitsexperten sagen, dass dies ein guter Anfang ist, aber mehr getan werden sollte die Adoptionsrate für Updates und zur Verbesserung der Verwaltung von Java-Sicherheitssteuerelementen in Unternehmensumgebungen. Noch wichtiger ist, dass Oracle seinen Java-Code gründlich überprüfen sollte, um die grundlegenden Sicherheitsprobleme zu identifizieren und zu beheben. Sie glauben, dass Java heute sicherer wäre, wenn Oracle den Warnungen der Sicherheitsbranche über die Jahre hinweg zugehört hätte.

"Es ist schwer zu sagen, was intern in Oracle in den letzten Jahren passiert ist, aber auf der Grundlage eines externen Eindrucks sie hätten früher reagieren können ", sagte Carsten Eiram, Forschungsvorstand der Beratungsgesellschaft Risk Based Security, per E-Mail. "Ich bin mir nicht sicher, ob Oracle wirklich die Vorhersagen von Java als nächstes wichtiges Ziel ernst genommen hat."

Es ist unwahrscheinlich, dass Oracle die jüngsten Angriffe hätte verhindern können, sagte er, aber es wäre in einer besseren Position, wenn es früher gehandelt hätte um den Code zu sichern und mehr Sicherheitsebenen hinzuzufügen.

"Ich denke, dass der derzeitige Stand der Java-Sicherheit darauf zurückzuführen ist, dass Sun Java sehr stark vorangetrieben hat, als sie es noch besaß", sagte Costin Raiu, Direktor der globalen Forschung und Analyseteam bei Kaspersky Lab, per E-Mail. "Nachdem Oracle Java gekauft hat, hat dieses Projekt vielleicht nur wenig Interesse geweckt."

Oracle hat Java erworben, als es Sun Microsystems im Jahr 2010 kaufte. Die Software ist laut Java.com auf 1,1 Milliarden Desktop-Computern weltweit installiert. Seine weit verbreitete Bereitstellung und seine plattformübergreifende Ausrichtung machen es zu einem attraktiven Ziel für Hacker. Forscher der polnischen Firma Security Explorations haben in den Java-Laufzeiten von Oracle, IBM und Apple im vergangenen Jahr 55 Schwachstellen gefunden und gemeldet, davon 36 in der Oracle-Version.

"Im April 2012 haben wir über 30 Sicherheitsprobleme berichtet, die Java SE 7 betreffen", sagte Adam Gowdiak, Gründer von Security Explorations, per E-Mail. "Dies war ungefähr zur selben Zeit, als der Flashback Mac OS Trojaner in freier Wildbahn gefunden wurde. Beides hätte als Weckruf für Oracle funktionieren sollen. "

Kaspersky Lab hat berichtet, dass zu einem beliebigen Zeitpunkt letztes Jahr jeder dritte Benutzer eine Version von Java ausgeführt hat, die anfällig für eines von fünf großen Exploits war Hacker. Zu Spitzenzeiten hatten mehr als 60 Prozent der Benutzer eine verwundbare Java-Version installiert.

Die Bereitstellung eines automatischen, automatischen Aktualisierungsmechanismus wie in Chrome, Flash Player, Adobe Reader und anderer Software könnte Verbrauchern hilfreich sein, sagte Eiram. Allerdings werden Unternehmen solche Funktionen wahrscheinlich deaktivieren, sagte er.

Seit Java 7 Update 10, das im Dezember veröffentlicht wurde, hat Oracle neue Optionen im Java-Kontrollfeld bereitgestellt, mit denen Benutzer das Java-Plugin von Browsern deaktivieren oder Java erzwingen können Bitte bestätigen, bevor Java-Applets ausgeführt werden. Seit Java 7 Update 11 wurde die Standardeinstellung für diesen Mechanismus auf "high" gesetzt, sodass nicht signierte Java-Applets ohne Benutzerbestätigung automatisch ausgeführt werden.

"Ich glaube, die neuen Sicherheitsfunktionen in Java zeigen, dass Oracle in die richtige Richtung geht ", sagte Wolfgang Kandek, CTO von Qualys, der Produkte für Schwachstellenmanagement und Policy-Compliance vertreibt. Java noch konfigurierbarer zu machen, würde den IT-Administratoren helfen, es so zu implementieren, dass es den Anforderungen ihrer Organisationen entspricht.

"Ich würde gerne White-Listing-Funktionen in Java nutzen, dh alle, aber zugelassenen Sites zu verbieten, den Applet-Mechanismus zu verwenden. "Sagte Kandek. "Gleichzeitig sollte die zentrale Verwaltung der Java-Konfigurationsfunktionen, dh über das Windows GPO [Group Policy], verbessert werden."

Kandek ist der Ansicht, dass Oracle eine größere Herausforderung darin besteht, Java gegen Angriffe zu schützen als andere Softwareunternehmen ihre eigenen Produkte. "Java ist eine vollständige Programmiersprache und muss in der Lage sein, den vollen Handlungsumfang auszuführen … einschließlich Betriebssystemaufgaben auf niedriger Ebene."

Eiram und Gowdiak sagten beide, dass Oracle die Qualität seines Java-Codes verbessern muss aus Sicherheitsgründen, weil es im Moment relativ einfach ist, Sicherheitslücken zu finden.

"Softwareanbieter sind verpflichtet, sicheren Code mit einer bestimmten Qualität bereitzustellen, und Anbieter von weit verbreiteter Software wie Flash Player oder Java haben einfach keine Entschuldigung" Eiram sagte. "Adobe hat dies erkannt und sich ernsthaft und erfolgreich bemüht, seinen Code zu verbessern. Microsoft hat das vor vielen Jahren getan. Es ist an der Zeit für Oracle, in diese Fußstapfen zu treten. "

Es gibt Hinweise darauf, dass Oracle-Entwicklern die Sicherheitslücken in Java nicht bekannt sind und dass Code-Security-Reviews entweder gar nicht oder nicht umfassend genug sind, sagte Gowdiak. Viele der von Security Explorations identifizierten Probleme verletzen die eigenen sicheren Kodierungsrichtlinien von Oracle für Java, sagte er.

"Wir haben viele Fehler gefunden, die das Unternehmen zum Zeitpunkt einer umfassenden Sicherheitsüberprüfung der Plattform vor seinem Ausschluss hätte eliminieren sollen ", sagte Gowdiak.

Oracle sollte einen soliden Secure Development Lifecycle für Java implementieren, um grundlegende Sicherheitslücken auszumerzen und den Reifegrad des Codes zu erhöhen, sagte Eiram. Ein SDL ist ein Software-Entwicklungsprozess, der die Überprüfung der Code-Sicherheit und sichere Entwicklungspraktiken zur Verringerung von Schwachstellen hervorhebt.

Der beste Ansatz wäre es, sicherzustellen, dass Entwickler wie Microsoft interne Schulungssitzungen durchführen und den vorhandenen Code überprüfen mit Hilfe von externen Auditoren, sagte Eiram. "Oracle könnte auch einige der fähigen Forscher, die ihren Code sowieso betrachten, beauftragen."

Oracle hat gesagt, es würde den Patching-Zyklus für Java von 4 Monaten auf 2 Monate beschleunigen und verspricht, besser über Java-Sicherheitsprobleme zu kommunizieren alle Zielgruppen, einschließlich Verbraucher, IT-Profis, Presse- und Sicherheitsforscher. Die langen Intervalle zwischen Java-Sicherheitsupdates und der mangelnden Kommunikation von Oracle über die Sicherheit wurden lange Zeit kritisiert.

"Es wird interessant sein zu sehen, ob sie ihr Versprechen, besser mit Öffentlichkeit und Presse zu kommunizieren, einhalten werden. In der Vergangenheit waren sie meiner Meinung nach regelrecht arrogant und weigerten sich, gemeldete Sicherheitslücken und sogar ihre Gültigkeit zu kommentieren ", sagte Eiram.

Die Politik, Sicherheitsfragen nicht zu kommentieren, die Oracle zum Schutz vorschrieb Englisch: bio-pro.de/en/region/stern/magazin/…3/index.html Benutzer, die nicht wussten, ob extern gemeldete Bedrohungen real waren oder was Oracle gegen sie unternahm, sagte er. "Dieser Ansatz für Sicherheit und Reaktionsfähigkeit gehört in das vorherige Jahrtausend."

Sicherheitsexperten erwarten nicht, dass Oracle alle Probleme in naher Zukunft in einer Weise löst, die entschlossene Angreifer abschreckt.

"Ich sehe es nicht voraus Javas Sicherheitsprobleme enden bald ", sagte Eiram. "Es dauerte eine Weile, bis Microsoft und Adobe das Boot umdrehten, und ihre Produkte sind hin und wieder Zero-Day [Exploits] ausgesetzt. Java hat den Angreifern einiges zu bieten, daher erwarte ich, dass sie sich vorerst darauf konzentrieren. "

" Ich würde in absehbarer Zeit keine Lösungen erwarten ", sagte Kandek. "IT-Administratoren sollten ihre Zeit darauf verwenden zu verstehen, wo sie Java auf dem Desktop benötigen und wo sie diese einschränken können."

Sicherheitsexperten stimmen zu, dass Java deaktiviert werden sollte, wo es nicht benötigt wird, zumindest auf Browserebene. Viele Benutzer wissen nicht einmal, dass Java auf ihren Computern installiert ist. Das ist wahrscheinlich der Grund, warum Google und Mozilla das Java-Plugin in Chrome und Firefox eingeschränkt haben.

Apple hat auch verwundbare Versionen des Java-Plugins unter Mac OS X auf die schwarze Liste gesetzt, und Windows verfügt über eine Registrierungseinstellung, die Java-Nutzung einschränken kann Internet Explorer zu vertrauenswürdigen Websites.

Während viele Heimanwender Java in ihren Browsern nicht benötigen, könnten Menschen in einigen Teilen der Welt dies tun. In Dänemark zum Beispiel verwenden Online-Banking- und Regierungswebseiten einen Anmeldemechanismus namens NemID, der Java-Unterstützung benötigt, sagte Iram. In anderen Ländern können ähnliche Fälle auftreten.

In diesen Fällen kann die Verwendung der Click-to-Play-Funktion in Chrome und Firefox oder des Zones-Mechanismus in IE dazu verwendet werden, Java-Inhalte nur von bestimmten Websites laden zu lassen. Eine weniger technische Lösung wäre die Verwendung eines Browsers mit deaktiviertem Java für allgemeine Aufgaben und eines anderen Browsers mit aktiviertem Java für vertrauenswürdige Websites, die Java-Unterstützung benötigen.

Die Verwendung von Java in Unternehmensumgebungen ist schwieriger. Viele Unternehmen verwenden interne und externe webbasierte Anwendungen, für deren Ausführung das Java-Browser-Plug-in erforderlich ist. Funktionen wie Click-to-Play eignen sich nicht für Unternehmensumgebungen, in denen Richtlinien zentral verwaltet und durchgesetzt werden müssen.

"Durch die Konfigurierbarkeit von Java können IT-Administratoren Java auf die richtige Weise für die Anforderungen der Organisation bereitstellen", so Kandek. "Höhere Standard-Sicherheitsstufen und die einfache Trennung vom Browser sind ein guter Anfang, aber ich glaube, wir müssen die White-Listing-Fähigkeiten von Browsern oder Java-Plugins verbessern."

Im Moment der Zone-Mechanismus in IE "Die neueste Welle von Java-basierten Angriffen, einschließlich derjenigen, die zu Sicherheitslücken bei Microsoft, Facebook, Apple und Twitter geführt hat, könnte Java beschädigt haben", sagt Kandek Ruf, sagte Eiram. Aber wenn Unternehmen Vertrauen in Java als sicher und sicher hätten, "hätten sie die Warnungen der Forscher für eine Weile nicht beachtet", sagte er.

Es könnte nicht nur der Ruf von Java beschädigt sein. Es ist wahrscheinlich, dass einige Unternehmen fragen, ob sich die schlechte Sicherheit von Java in anderen Oracle-Produkten widerspiegelt, sagte Gowdiak.

Eiram hofft, dass die jüngsten Angriffe die Unternehmen dazu bringen, neu zu bewerten, ob sie Java in ihren Umgebungen benötigen.

"Unternehmen im Allgemeinen sind Migration zu reinen HTML5-basierten Anwendungen und entfernen sich von Plugins wie Flash, Silverlight und Java ", sagte Kandek. "Java wird auf der Serverseite weiter wachsen, wo seine leistungsstarken Verarbeitungsfähigkeiten unbedingt benötigt werden."