自今年年初以来,黑客一直在利用Java的漏洞,对微软(Microsoft)、苹果(Apple)、Facebook和Twitter等公司以及家庭用户发起一系列攻击。甲骨文已经努力更快地应对这些威胁,并加强其Java软件,但安全专家说,攻击不太可能在短期内减少。
就在本周,安全研究人员表示,黑客背后最近发现MiniDuke网络间谍活动使用基于web的Java和Internet Explorer 8漏洞,以及adobereader漏洞来破坏他们的目标。上个月,MiniDuke恶意软件感染了来自23个国家的59台政府机构、研究机构、智库和私营企业的电脑。
(图片:13个最大的安全流言被揭穿了]
卡巴斯基实验室在一份声明中说,MiniDuke使用的Java漏洞针对的是一个在攻击发生时Oracle尚未修复的漏洞博客.在补丁发布之前被公开或利用的漏洞被称为零日漏洞,其中一些漏洞已被用于今年针对Java的攻击。
今年2月,微软(Microsoft)、苹果(Apple)、Facebook和推特(Twitter)的软件工程师在访问了一个针对iOS开发者的社区网站后,他们的工作笔记本电脑感染了恶意软件操纵使用Java零日漏洞。这些入侵是由多个网站发起的更大的“水坑”攻击造成的,该攻击也影响了政府机构和其他行业的公司,《安全总账》(The Security Ledger)报道.
为了应对这些攻击,Oracle从年初开始发布了两次紧急安全更新,并加快了预定补丁的发布。它还将Java applet的安全控制的默认设置提高到了很高的水平,以防止在没有用户确认的情况下,基于web的Java应用程序在浏览器中执行。
安全专家表示,这是一个良好的开端,但他们认为,在提高更新的采用率和提高企业环境中Java安全控制的管理方面,还需要做更多的工作。他们说,更重要的是,Oracle应该彻底检查其Java代码,以识别和修复基本的安全问题。他们认为,如果甲骨文多年来听从了安全行业的警告,今天的Java会更安全。
咨询公司Risk based Security的首席研究官Carsten Eiram在电子邮件中表示:“很难说过去几年甲骨文内部发生了什么,但从外部印象来看,我觉得他们本可以更早做出反应。”“我不确定甲骨文是否真的认真对待Java将成为下一个主要目标的预测。”
他说,甲骨文不太可能阻止最近的攻击,但如果它能更早地采取行动,确保代码的安全,并增加更多的安全层,它将处于更好的位置。
卡巴斯基实验室(Kaspersky Lab)全球研究和分析团队负责人科斯汀·拉伊乌(Costin Raiu)在电子邮件中表示:“我认为Java安全目前的状况是由于Sun在他们还拥有Java的时候大力推动了Java的发展。”“在Oracle收购Java之后,可能很少有人对这个项目感兴趣。”
2010年,甲骨文在收购Sun Microsystems时收购了Java。根据Java.com的信息,该软件在全球11亿台台式电脑上安装。它广泛的部署和跨平台的特性使它成为黑客的诱人目标。波兰漏洞研究公司Security Explorations的研究人员发现并报告了甲骨文、IBM和苹果在过去一年中维护的Java运行时中存在的55个漏洞,其中36个在甲骨文版本中。
“2012年4月,我们向Oracle报告了30个影响Java SE 7的安全问题,”security Explorations的创始人亚当·高迪亚克(Adam Gowdiak)在电子邮件中说。“大约在同一时间,Mac OS闪回木马在野外被发现。这两件事都应该给甲骨文敲响警钟。”
卡巴斯基实验室已经报道在去年的任何时候,三分之一的用户运行的Java版本容易受到黑客使用的五种主要漏洞之一的攻击。在高峰期,超过60%的用户安装了易受攻击的Java版本。
Eiram说,像Chrome、Flash Player、Adobe Reader和其他软件那样提供一种无声的自动更新机制可能对消费者有帮助。不过,他说,企业可能会禁用这些功能。
从去年12月发布的Java 7 Update 10开始,Oracle在Java控制面板中提供了新的选项,允许用户在浏览器中禁用Java插件,或强制Java在执行Java applet前要求确认。A自从Java 7 Update 11以来,该机制的默认设置已经设置为高,以防止无签名Java applet在没有用户确认的情况下自动运行。
“我相信Java的新安全特性表明Oracle正在朝着正确的方向前进,”Qualys的首席技术官Wolfgang Kandek说,该公司销售漏洞管理和政策遵从产品。使Java更可配置将有助于IT管理员以满足其组织需求的方式部署它。
Kandek说:“我欢迎Java的白名单功能,即禁止所有未经批准的网站使用applet机制。”“同时,Java配置功能的中央管理,即通过Windows GPO[组策略],应该得到改进。”
Kandek认为,与其他软件公司使用自己的产品相比,甲骨文在增强Java抵御攻击方面面临更大的挑战。“Java是一种完整的编程语言,需要能够执行所有的操作……包括低级操作系统任务。”
也就是说,Eiram和Gowdiak都表示,Oracle需要从安全的角度提高Java代码的质量,因为现在找到漏洞相对容易。
Eiram说:“软件供应商有责任提供一定质量的安全代码,而Flash Player或Java等广泛部署的软件供应商没有任何借口。”Adobe意识到了这一点,并做出了认真而成功的努力来改进他们的代码。微软多年前也做过同样的事。甲骨文是时候跟随他们的脚步了。”
Gowdiak说,有迹象表明,Oracle的开发人员没有意识到Java的安全隐患,代码安全检查要么根本没有完成,要么不够全面。Security Explorations发现的许多问题都与Oracle自己的问题相违背安全编码指南他说。
Gowdiak说:“我们发现了许多本应在平台发布前进行全面安全审查时被公司消除的漏洞。”
Eiram说,Oracle应该为Java实现一个可靠的安全开发生命周期,以消除基本的漏洞,提高代码的成熟度。SDL是强调代码安全性审查和安全开发实践以减少漏洞的软件开发过程。
Eiram说,最好的方法是确保开发人员通过举办内部培训课程得到适当的培训,就像微软所做的那样,并在外部审计员的帮助下审查现有代码。“甲骨文还不如雇佣一些有经验的研究人员,让他们看看自己的代码。”
Oracle表示,将把Java的补丁周期从4个月加快到2个月承诺更好地沟通有关Java安全问题的所有听众,包括消费者、IT专业人士、媒体和安全研究人员。Java安全更新间隔太长,Oracle在安全方面缺乏沟通,这一直受到批评。
“他们是否会履行承诺,更好地与公众和媒体沟通,这将是一件有趣的事情。在过去,他们——在我看来——非常傲慢,拒绝对报告中的漏洞,甚至它们的有效性发表评论,”Eiram说。
他说,甲骨文不评论安全问题的政策导致用户不知道外部报告的威胁是否真实存在,也不知道甲骨文正在对他们采取什么措施。甲骨文表示,这是保护用户的必要措施。“这种安全和响应的方法属于上一个千年。”
安全专家并不指望Oracle能在不久的将来解决所有的问题,阻止那些顽固的攻击者。
“我认为Java的安全问题不会很快结束,”Eiram说。“微软和Adobe都花了一段时间才扭转颓势,他们的产品仍然不时受到零日(exploit)的影响。Java可以为攻击者提供很多东西,所以我希望他们现在继续关注它。”
坎德克说:“我不指望很快就能找到解决方案。”“IT管理员应该花时间了解他们在什么地方需要Java,在什么地方可以限制它。”
安全专家一致认为,在不需要Java的地方应该禁用它,至少在浏览器级别是这样。许多用户甚至不知道他们的电脑上安装了Java。这可能就是为什么谷歌和Mozilla选择限制Chrome和Firefox中的Java插件的原因,Raiu说。
苹果还将Mac OS X上的Java插件列入了黑名单,Windows也有注册表设置这将限制Java在ie浏览器中的使用,只能使用可信的网站。
虽然许多家庭用户的浏览器不需要Java,但世界上某些地方的人可能需要。Eiram举例说,在丹麦,网上银行和政府网站使用一种名为NemID的登录机制,需要Java支持。其他国家也可能存在类似的情况。
在这些情况下,使用Chrome和Firefox的点击播放功能,或者IE的区域机制,可以用来让Java内容只从某些网站加载。一个技术性较低的解决方案是使用一个浏览器禁用Java来完成一般任务,而使用另一个浏览器启用Java来支持需要Java支持的可信网站。
在企业环境中限制Java的使用更加困难。许多公司使用内部和外部基于web的应用程序,这些应用程序需要Java浏览器插件才能运行。像点击播放这样的功能不适合需要集中管理和执行策略的企业环境。
Kandek说:“使Java更具可配置性将帮助IT管理员以适合组织需求的方式部署Java。”“更高的默认安全级别和容易与浏览器断开连接是一个好的开始,但我相信我们需要改进浏览器或Java插件的白名单功能。”
Kandek说,目前IE中的Zone机制为企业环境中的Java插件提供了最可扩展的管理能力。
Eiram说,最近一波基于Java的攻击,包括导致微软、Facebook、苹果和Twitter安全漏洞的攻击,可能已经损害了Java的声誉。但如果企业相信Java是安全可靠的,“他们已经有一段时间没有注意到研究人员提供的大量警告了,”他说。
这不仅损害了Java的声誉。Gowdiak说,一些公司可能会问,Java的低安全性是否也反映在甲骨文的其他产品上。
Eiram希望最近的攻击能促使公司重新评估他们的环境中是否需要Java。
Kandek表示:“企业普遍都在转向纯粹基于HTML5的应用,而不再使用Flash、Silverlight和Java等插件。“Java将继续在服务器端增长,这是绝对需要它强大的处理能力的地方。”