Pesquisadores: Problemas de segurança do Java não devem ser resolvidos em breve

Desde o início do ano, hackers vêm explorando vulnerabilidades em Java. para realizar uma série de ataques contra empresas, incluindo Microsoft, Apple, Facebook e Twitter, bem como usuários domésticos. A Oracle se esforçou para responder mais rapidamente às ameaças e fortalecer seu software Java, mas especialistas em segurança dizem que é improvável que os ataques aconteçam em breve.

Só nesta semana, os pesquisadores de segurança disseram que os hackers por trás do MiniDuke recentemente descoberto. A campanha de cyberespionagem utilizou explorações baseadas na Web para Java e Internet Explorer 8, juntamente com uma exploração do Adobe Reader, para comprometer os seus alvos. No mês passado, o malware MiniDuke infectou 59 computadores pertencentes a organizações governamentais, institutos de pesquisa, think tanks e empresas privadas de 23 países.

A exploração Java usada pelo MiniDuke teve como alvo uma vulnerabilidade que não tinha sido corrigida pela Oracle na época da os ataques, disse a Kaspersky Lab em um post no blog. Vulnerabilidades que são tornadas públicas ou exploradas antes de um patch ser lançado são conhecidas como vulnerabilidades de dia zero, várias das quais foram usadas nos ataques contra Java este ano.

[Leitura adicional: Como remover malware do seu PC com Windows]

Em fevereiro, engenheiros de software da Microsoft, Apple, Facebook e Twitter tiveram seus laptops de trabalho infectados com malware depois de visitarem um site da comunidade para desenvolvedores iOS que tinham sido manipulados com um exploit de dia zero em Java. As violações foram o resultado de um maior ataque de “watering hole” lançado de vários sites que também afetaram agências governamentais e empresas de outros setores, informou o The Security Ledger.

A Oracle respondeu aos ataques emitindo duas atualizações de segurança de emergência desde o início do ano e acelerar o lançamento de um patch agendado. Ele também elevou a configuração padrão dos controles de segurança para applets Java, impedindo que aplicativos Java baseados na Web executem navegadores internos sem a confirmação do usuário.

Especialistas em segurança dizem que esse é um bom começo, mas acho que mais deve ser feito para aumentar a taxa de adoção de atualizações e para melhorar o gerenciamento de controles de segurança Java em ambientes corporativos. Mais importante, dizem eles, a Oracle deve revisar completamente seu código Java para identificar e corrigir os problemas básicos de segurança. Eles acreditam que o Java estaria mais seguro hoje se a Oracle tivesse ouvido as advertências do setor de segurança ao longo dos anos. “É difícil dizer o que vem acontecendo internamente na Oracle nos últimos anos, mas com base em uma impressão externa que sinto eles poderiam ter reagido mais cedo ”, disse Carsten Eiram, diretor de pesquisa da consultoria Risk Based Security, por e-mail. "Não estou certo de que a Oracle tenha levado a sério as previsões de Java como o próximo grande alvo."

É improvável que a Oracle tenha evitado os recentes ataques, disse ele, mas estaria em melhor posição se tivesse agido antes Para garantir seu código e adicionar mais camadas de segurança, “Acho que o estado atual da segurança Java se deve ao fato de a Sun ter pressionado muito o Java quando ainda o possuía”, disse Costin Raiu, diretor de pesquisa global. e equipe de análise na Kaspersky Lab, via email. “Depois que a Oracle comprou o Java, talvez pouco interesse tenha entrado neste projeto.”

A Oracle adquiriu o Java quando comprou a Sun Microsystems em 2010. O software está instalado em 1,1 bilhão de computadores em todo o mundo, de acordo com informações do Java.com. Sua implantação generalizada e a natureza de plataforma cruzada o tornam um alvo atraente para hackers. Pesquisadores da Security Explorations, uma empresa de pesquisa de vulnerabilidades polonesa, descobriram e reportaram 55 vulnerabilidades nos tempos de execução de Java mantidos pela Oracle, IBM e Apple no último ano, 36 deles na versão da Oracle.

“Em abril de 2012, reportamos 30 problemas de segurança para a Oracle que afetam o Java SE 7”, disse Adam Gowdiak, fundador da Security Explorations, por e-mail. “Isso aconteceu mais ou menos na mesma época em que o trojan Flashback Mac OS foi encontrado na natureza. Ambos devem ter funcionado como um alerta para a Oracle. ”

A Kaspersky Lab informou que, em determinado momento do ano passado, um em cada três usuários estava executando uma versão do Java vulnerável a uma das cinco principais explorações usadas por hackers. Nos horários de pico, mais de 60% dos usuários tinham uma versão Java vulnerável instalada.

Fornecer um mecanismo silencioso de atualização automática como o encontrado no Chrome, Flash Player, Adobe Reader e outros softwares pode ser útil para os consumidores, disse Eiram. No entanto, as empresas provavelmente desativarão esses recursos, disse ele.

A partir do Java 7 Update 10, lançado em dezembro, a Oracle forneceu novas opções no painel de controle Java que permitem aos usuários desativar o plug-in Java de navegadores ou forçar o Java a solicite confirmação antes da execução dos applets Java. Desde o Java 7 Update 11, a configuração padrão desse mecanismo foi definida como alta, evitando que applets Java não assinados sejam executados automaticamente sem a confirmação do usuário.

“Acredito nos novos recursos de segurança em Java mostram que a Oracle está se movendo na direção certa ”, disse Wolfgang Kandek, CTO da Qualys, que vende produtos de gerenciamento de vulnerabilidades e conformidade de políticas. Tornar o Java ainda mais configurável ajudaria os administradores de TI a implantá-lo de uma maneira que atenda aos requisitos de suas organizações.

“Eu adoraria recursos de listagem em Java, ou seja, proibindo que todos os sites aprovados usem o mecanismo de applet, Kandek disse. "Ao mesmo tempo, o gerenciamento central dos recursos de configuração do Java, ou seja, via Windows GPO [Group Policy], deve ser melhorado."

Kandek acredita que a Oracle enfrenta um desafio maior em proteger Java contra ataques do que outras empresas de software seus próprios produtos. “Java é uma linguagem de programação completa e precisa ser capaz de executar toda a gama de ações … incluindo tarefas de sistema operacional de baixo nível.” Dito isso, Eiram e Gowdiak disseram que a Oracle precisa melhorar a qualidade de seu código Java do ponto de vista da segurança, porque agora é relativamente fácil encontrar vulnerabilidades.

“Os fornecedores de software têm a responsabilidade de fornecer código seguro de uma certa qualidade, e os fornecedores de softwares amplamente implantados como Flash Player ou Java simplesmente não têm desculpa” Eiram disse. “A Adobe percebeu isso e fez um esforço sério e bem-sucedido para melhorar seu código. A Microsoft fez o mesmo muitos anos atrás. É hora de a Oracle seguir os passos. ”

Há indícios de que os desenvolvedores da Oracle não estão cientes das armadilhas de segurança do Java e que as revisões de segurança de código não são feitas ou não suficientemente abrangentes, disse Gowdiak. Muitos dos problemas identificados por Explorações de Segurança violam as próprias diretrizes de codificação segura da Oracle para Java, disse ele. “Nós encontramos muitas falhas que deveriam ter sido eliminadas pela empresa no momento de uma abrangente revisão de segurança da plataforma antes de sua implementação. release ", disse Gowdiak.

A Oracle deve implementar um sólido Ciclo de Vida de Desenvolvimento Seguro para Java para eliminar vulnerabilidades básicas e aumentar a maturidade do código, disse Eiram. Um SDL é um processo de desenvolvimento de software que enfatiza revisões de segurança de código e práticas de desenvolvimento seguras para reduzir vulnerabilidades.

A melhor abordagem seria garantir que os desenvolvedores sejam treinados adequadamente realizando sessões internas de treinamento, como a Microsoft, e revisar o código existente com a ajuda de auditores externos, disse Eiram. "A Oracle também pode contratar alguns dos pesquisadores qualificados que estão olhando seu código de qualquer maneira."

A Oracle anunciou que aceleraria o ciclo de patches para Java de 4 meses a 2 meses e prometeu se comunicar melhor sobre problemas de segurança Java com todos os públicos, incluindo consumidores, profissionais de TI, pesquisadores de imprensa e segurança. Os longos intervalos entre as atualizações de segurança do Java e a falta de comunicação da Oracle sobre segurança são criticados há muito tempo.

“Será interessante ver se eles honrarão sua promessa de se comunicar melhor com o público e a imprensa. No passado, eles - na minha opinião - foram francamente arrogantes e se recusaram a comentar sobre vulnerabilidades relatadas, e até mesmo sua validade ”, disse Eiram.

A política de não comentar sobre questões de segurança, que a Oracle disse que era necessário proteger usuários, resultou em usuários não sabendo se ameaças reportadas externamente eram reais ou o que a Oracle estava fazendo sobre eles, ele disse. “Essa abordagem de segurança e capacidade de resposta pertence ao milênio anterior.”

Especialistas em segurança não esperam que a Oracle solucione todos os problemas no futuro próximo de forma a deter determinados atacantes.

“Eu não prevejo Os problemas de segurança de Java terminam em breve ”, disse Eiram. “A Microsoft e a Adobe precisaram de um tempo para virar o barco, e seus produtos ainda estão sujeitos a explorações do dia-zero de vez em quando. O Java tem muito a oferecer aos invasores, então espero que eles mantenham o foco por enquanto. ”

“ Eu não esperaria soluções em breve ”, disse Kandek. “Os administradores de TI devem investir seu tempo para entender onde precisam do Java no desktop e onde podem restringi-lo.”

Os especialistas em segurança concordam que o Java deve ser desativado onde não for necessário, pelo menos no nível do navegador. Muitos usuários nem sabem que possuem Java instalado em seus computadores. É por isso que o Google e a Mozilla preferiram restringir o plugin Java no Chrome e Firefox, disse Raiu. A Apple também colocou na lista negra versões vulneráveis ​​do plugin Java no Mac OS X, e o Windows tem uma configuração de registro que pode limitar o uso de Java Internet Explorer para sites confiáveis.

Embora muitos usuários domésticos não precisem de Java em seus navegadores, pessoas em algumas partes do mundo podem. Na Dinamarca, por exemplo, bancos on-line e sites governamentais usam um mecanismo de login chamado NemID que requer suporte Java, disse Eiram. Casos semelhantes podem existir em outros países.

Nesses casos, o uso do recurso click-to-play no Chrome e Firefox, ou o mecanismo Zones no IE, poderia ser usado para permitir que o conteúdo Java fosse carregado apenas de determinados sites. Uma solução menos técnica seria usar um navegador com Java desativado para tarefas gerais e um navegador diferente com Java ativado para sites confiáveis ​​que precisam de suporte a Java.

Restringir o uso de Java em ambientes corporativos é mais difícil. Muitas empresas usam aplicativos internos e externos baseados na Web que exigem que o plug-in do navegador Java seja executado. Recursos como o clique para reproduzir não são adequados para ambientes corporativos em que as políticas precisam ser gerenciadas e aplicadas de maneira centralizada.

“Tornar o Java mais configurável ajudará os administradores de TI a implantar o Java da maneira correta para os requisitos da organização”, disse Kandek. “Níveis mais altos de segurança padrão e a fácil desconexão do navegador são um bom começo, mas acredito que precisaremos melhorar os recursos de listagem branca de navegadores ou plugins Java.”

Por enquanto, o mecanismo de Zona no IE oferece as capacidades de gerenciamento mais escaláveis ​​para o plugin Java em ambientes corporativos, disse Kandek. A onda recente de ataques baseados em Java, incluindo o que resultou em violações de segurança na Microsoft, Facebook, Apple e Twitter, pode ter danificado o Java reputação, disse Eiram. Mas se as empresas confiassem em Java como sendo seguras e protegidas, “elas não prestam atenção aos abundantes avisos fornecidos pelos pesquisadores há algum tempo”, disse ele.

Não é apenas a reputação de Java que pode ter sido danificada. É provável que algumas empresas estejam se perguntando se a pouca segurança do Java é refletida em outros produtos Oracle, disse Gowdiak. Eiram espera que os recentes ataques façam com que as empresas reavaliem se precisam de Java em seus ambientes. estão migrando para aplicativos baseados em HTML5 e se afastando de plugins como Flash, Silverlight e Java ”, disse Kandek. “O Java continuará a crescer no lado do servidor, onde suas poderosas capacidades de processamento são absolutamente necessárias.”