Car-tech

الباحثون: من غير المحتمل حل مشكلات أمان Java في وقت قريب

Coronavirus: The OC Response

Coronavirus: The OC Response
Anonim

منذ بداية العام ، كان المتسللون يستغلون نقاط الضعف في جافا لتنفيذ سلسلة من الهجمات ضد الشركات بما في ذلك مايكروسوفت وأبل وفيس بوك وتويتر ، وكذلك المستخدمين المنزليين. لقد بذلت أوراكل جهداً للاستجابة بشكل أسرع للتهديدات ولتعزيز برمجيات جافا الخاصة بها ، لكن خبراء الأمن يقولون إن الهجمات من غير المرجح أن تتوقف في أي وقت قريب.

فقط هذا الأسبوع ، قال باحثون أمنيون إن المتسللين وراء MiniDuke الذي تم الكشف عنه مؤخرًا استخدمت حملة cyberespionage عمليات استغلال قائمة على الويب لجافا و Internet Explorer 8 ، بالإضافة إلى استغلال Adobe Reader ، لإضعاف أهدافهم. في الشهر الماضي ، أصابت البرمجيات الخبيثة MiniDuke 59 جهاز كمبيوتر تنتمي إلى منظمات حكومية ومعاهد بحثية ومراكز أبحاث وشركات خاصة من 23 دولة.

استغل جافا المستخدم من قبل MiniDuke نقطة الضعف التي لم يتم تصحيحها من قبل Oracle في وقت قال كاسبرسكي لاب في مدونة. تعرف نقاط الضعف التي يتم نشرها أو استغلالها قبل تصحيحها بأنها نقاط الضعف في يوم الصفر ، والتي تم استخدام العديد منها في الهجمات ضد جافا هذا العام.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

في فبراير ، كان مهندسو البرمجيات من Microsoft ، و Apple ، و Facebook ، و Twitter لديهم أجهزة كمبيوتر محمولة بالعمل لديهم مصابة ببرامج ضارة بعد زيارة موقع ويب للمطورين من iOS الذين تم تزويرهم باستخدام Java zero-day exploit. كانت الانتهاكات ناتجة عن هجوم "ثقب مائي" أكبر تم إطلاقه من عدة مواقع إلكترونية أثرت أيضًا على الوكالات الحكومية والشركات في الصناعات الأخرى ، حسبما ورد في تقرير ليدجر ليدجر.

قامت شركة أوراكل بالرد على الهجمات من خلال إصدار اثنين من التحديثات الأمنية الطارئة منذ بداية العام وتسريع إطلاق التصحيح المقرر. كما أنها رفعت الإعداد الافتراضي لعناصر التحكم الأمنية لتطبيقات Java إلى أعلى ، مما يمنع تطبيقات Java المستندة إلى الويب من التنفيذ داخل المستعرضات دون تأكيد من المستخدم.

يقول خبراء الأمن إن هذه بداية جيدة لكنهم يعتقدون أنه يجب عمل المزيد لزيادة معدل اعتماد التحديثات وتحسين إدارة عناصر تحكم أمان Java في بيئات الشركات. والأهم من ذلك ، كما يقولون ، يجب أن تقوم Oracle بمراجعة شفرة جافا الخاصة بها بدقة لتحديد مشكلات الأمان الأساسية وإصلاحها. ويعتقدون أن جافا ستكون أكثر أمنا اليوم إذا استمعت أوراكل إلى تحذيرات صناعة الأمن على مر السنين.

"من الصعب أن نقول ما الذي كان يجري داخليا في أوراكل في السنوات الماضية ، ولكن بناء على انطباع خارجي أشعر وقال كارستن إييرام ، كبير مسؤولي الأبحاث في شركة "بيغريز رايت سيكيوريتي" ، عبر البريد الإلكتروني: "كان من الممكن أن يكون رد فعلهم أسرع". "لست متأكداً من أن شركة أوراكل أخذت بالفعل توقعات بأن جاوة هي الهدف الرئيسي التالي على محمل الجد."

من غير المرجح أن تكون أوراكل قد منعت الهجمات الأخيرة ، على حد قوله ، ولكن سيكون في وضع أفضل إذا تصرفت في وقت مبكر. لتأكيد الرمز الخاص به وإضافة المزيد من طبقات الأمان.

"أعتقد أن الحالة الحالية لأمان Java ترجع إلى حقيقة أن Sun دفعت Java بشدة عندما لا تزال تملكها" ، قال Costin Raiu ، مدير الأبحاث العالمية وفريق التحليل في كاسبرسكي لاب ، عبر البريد الإلكتروني. "بعد أن اشترت أوراكل جافا ، ربما لم يكن هناك اهتمام يذكر بهذا المشروع."

حصلت أوراكل على جافا عندما اشترت صن مايكروسيستمز في عام 2010. تم تثبيت البرنامج على 1.1 مليار كمبيوتر مكتبي في جميع أنحاء العالم ، وفقا للمعلومات في Java.com. انتشارها على نطاق واسع وطبيعتها عبر منصة تجعلها هدفا جذابا للقراصنة. وجد الباحثون في شركة "إكسبلوريس انفورميشنز" ، وهي شركة أبحاث هشة في بولندا ، وأبلغوا عن 55 نقطة ضعف في أوقات تشغيل جافا التي حافظت عليها شركة أوراكل وآي بي إم وأبل خلال العام الماضي ، 36 منها في إصدار أوراكل.

"في أبريل 2012 ، أبلغنا عن 30 مشكلة أمنية في Oracle تؤثر على Java SE 7 ،" قال Adam Gowdiak ، مؤسس شركة Explorations ، عبر البريد الإلكتروني. "كان هذا في نفس الوقت تقريبا تم العثور على برنامج Flashback Mac OS طروادة في البرية. يجب أن يكون كلاهما بمثابة دعوة للاستيقاظ لأوراكل. "

أفادت شركة" كاسبرسكي لاب "أنه في أي وقت من العام الماضي ، كان واحد من كل ثلاثة مستخدمين يشغل نسخة من جافا كانت عرضة لأي من أهم خمس عمليات استغلال تستخدمها قراصنة. في أوقات الذروة ، أكثر من 60 في المئة من المستخدمين لديهم نسخة جافا ضعيفة مثبتة.

إن توفير آلية تحديث آلية صامتة مثل تلك الموجودة في Chrome ، و Flash Player ، و Adobe Reader وغيرها من البرامج قد تكون مفيدة للمستهلكين ، حسبما قال إيرام. ومع ذلك ، فإن الشركات ستعطل مثل هذه الميزات على الأرجح. عند البدء باستخدام Java 7 Update 10 ، الذي تم إصداره في ديسمبر ، قدمت Oracle خيارات جديدة في لوحة تحكم Java تسمح للمستخدمين بتعطيل مكون Java الإضافي من المتصفحات أو فرض جافا على اطلب التأكيد قبل تنفيذ تطبيقات Java. منذ Java 7 Update 11 ، تم تعيين الإعداد الافتراضي لهذه الآلية إلى أعلى ، ومنع تشغيل برامج Java غير الموقعة تلقائيًا دون تأكيد المستخدم.

"أعتقد أن ميزات الأمان الجديدة في Java وقال ولفجانج كانديك ، مدير العمليات في Qualys ، التي تبيع منتجات إدارة المخاطر والامتثال للسياسة ، أن أوراكل تتحرك في الاتجاه الصحيح. سيساعد جعل جافا أكثر قابلية للتكوين على مساعدة مسؤولي تكنولوجيا المعلومات في نشرها بطريقة تلبي متطلبات مؤسساتهم.

"أرحب بقدرات القائمة البيضاء في جافا ، أي حظر المواقع جميعها إلا المعتمدة لاستخدام آلية التطبيق الصغير ، وقال كانديك. "في الوقت نفسه ، يجب تحسين الإدارة المركزية لقدرات تكوين Java ، أي عبر Windows GPO [Group Policy]."

Kandek تعتقد أن Oracle تواجه تحديًا أكبر في تقوية Java ضد الهجمات مقارنة مع شركات البرامج الأخرى. منتجاتهم الخاصة. "Java هي لغة برمجة كاملة ويجب أن تكون قادرة على تنفيذ سلسلة كاملة من الإجراءات … بما في ذلك مهام نظام التشغيل ذات المستوى المنخفض."

ومع ذلك ، قال كل من Eiram و Gowdiak أن Oracle بحاجة إلى تحسين جودة كود Java الخاص بها من منظور أمني ، لأنه في الوقت الحالي من السهل العثور على نقاط الضعف.

"يتحمل بائعي البرامج مسؤولية توفير رمز آمن بجودة معينة ، وببساطة لا يكون باعة البرامج المنتشرة على نطاق واسع مثل Flash Player أو Java عذرًا" قال إيرام. "أدركت أدوبي هذا وقد بذلت جهودًا جادة وناجحة لتحسين شفرتها. فعلت مايكروسوفت نفس الشيء منذ عدة سنوات. لقد حان الوقت لكي تتبع أوراكل هذه الخطوات. "

هناك مؤشرات على أن مطوري أوراكل ليسوا على دراية بالمخاطر الأمنية في جافا وأن مراجعات أمن التعليمات البرمجية إما أنها لم تتم على الإطلاق أو لم تكن شاملة بما فيه الكفاية ، حسبما قال جودياك. وقال إن الكثير من القضايا التي حددتها "الاستكشافات الأمنية" تنتهك المبادئ التوجيهية الخاصة بتشفير "أوراكل" الخاصة بجاوة.

"لقد وجدنا العديد من العيوب التي كان ينبغي أن يتم التخلص منها من قبل الشركة في وقت مراجعة أمنية شاملة للمنصة قبل قال جودياك: "يجب على أوراكل تنفيذ دورة حياة آمنة للتطوير الآمن لجافا للتخلص من نقاط الضعف الأساسية وزيادة نضج الشفرة". إن SDL هي عملية تطوير برمجيات تؤكد على عمليات مراجعة أمان التعليمات البرمجية وممارسات التطوير الآمنة لتقليل نقاط الضعف.

أفضل طريقة هي ضمان تدريب المطورين بشكل صحيح من خلال عقد جلسات تدريب داخلية ، كما فعلت Microsoft ، ومراجعة الشفرة الحالية بمساعدة من المدققين الخارجيين ، قال إيرام. "قد تتعاقد شركة أوراكل مع بعض الباحثين المهرة الذين ينظرون إلى كودهم على أي حال."

قالت أوراكل إنها ستسرع دورة التصحيح في جافا من 4 أشهر إلى شهرين ، ووعدت بالتواصل بشكل أفضل مع مشكلات أمان Java مع جميع الجماهير ، بما في ذلك المستهلكين ومحترفي تكنولوجيا المعلومات والباحثين في مجال الصحافة والأمن. لطالما انتقدت الفترات الزمنية الطويلة بين تحديثات أمان Java ونقص اتصال Oracle حول الأمان.

سيكون من المثير للاهتمام أن نرى ما إذا كانوا سوف يفيون بوعدهم في التواصل بشكل أفضل مع الجمهور والصحافة. في الماضي ، كان لديهم - في رأيي - استكبارا صريحا ورفضوا التعليق على نقاط الضعف التي تم الإبلاغ عنها ، وحتى صلاحيتها. قال إيرام.

سياسة عدم التعليق على القضايا الأمنية ، والتي قالت أوراكل أنها ضرورية لحماية المستخدمين ، مما أدى إلى المستخدمين لا يعرفون ما إذا كانت التهديدات التي تم الإبلاغ عنها خارجيًا حقيقية أو ما تفعله أوراكل بشأنها ، على حد قوله. "هذا النهج للأمن والاستجابة ينتمي إلى الألفية السابقة."

خبراء الأمن لا يتوقعون أن تقوم أوراكل بحل جميع المشاكل في المستقبل القريب بطريقة من شأنها أن تردع المهاجمين المعينين.

"لا أتوقع وقال إيرام إن مشاكل أمن جافا تنتهي في أي وقت قريب. "استغرق الأمر كل من Microsoft و Adobe فترة من الوقت لتحويل القارب حوله ، ومنتجاتهما لا تزال خاضعة لصفر [مآثر] من حين لآخر. إن جافا لديها الكثير لتقدمه للمهاجمين ، لذا أتوقع منهم أن يواصلوا تركيزهم عليه الآن. "

" لا أتوقع الحلول في أي وقت قريب "، قال كانديك. "ينبغي على مديري تكنولوجيا المعلومات استثمار وقتهم في فهم المكان الذي يحتاجون فيه إلى جافا على سطح المكتب وحيث يمكنهم تقييده."

يتفق خبراء الأمان على أنه يجب تعطيل جافا حيث لا تكون هناك حاجة إليه ، على الأقل على مستوى المتصفح. العديد من المستخدمين لا يعرفون حتى أن Java مثبتة على أجهزة الكمبيوتر الخاصة بهم. وهذا ربما السبب في اختيار جوجل وموزيلا لتقييد البرنامج المساعد جافا في كروم وفايرفوكس ، وقال رايو.

أبل أيضا على القائمة السوداء من المكونات الضعيفة من البرنامج المساعد جافا على نظام التشغيل Mac OS X ، ويندوز لديها إعداد التسجيل التي يمكن أن تحد من استخدام جافا في Internet Explorer إلى مواقع ويب موثوق بها.

بينما لا يحتاج العديد من المستخدمين المنزليين إلى Java في المستعرضات الخاصة بهم ، قد يكون الأشخاص في بعض أجزاء من العالم. في الدنمارك ، على سبيل المثال ، تستخدم الخدمات المصرفية عبر الإنترنت والحكومة الإلكترونية آلية تسجيل الدخول تسمى NemID التي تتطلب دعم جافا ، كما يقول إيرام. قد توجد حالات مماثلة في بلدان أخرى.

في هذه الحالات ، يمكن استخدام ميزة النقر للتشغيل في Chrome و Firefox ، أو آلية المناطق في IE ، للسماح بتحميل محتوى جافا من مواقع معينة فقط. سيكون الحل الأقل تقنية هو استخدام متصفح واحد مع Java معطل للمهام العامة ، ومتصفح آخر مع Java ممكّن لمواقع ويب موثوق بها تحتاج إلى دعم Java.

يعد تقييد استخدام Java في بيئات الشركات أكثر صعوبة. تستخدم العديد من الشركات التطبيقات المستندة إلى الويب الداخلية والخارجية التي تتطلب تشغيل البرنامج المساعد لمتصفح Java. إن الميزات مثل النقر للتشغيل ليست مناسبة لبيئات الشركات التي تحتاج إلى إدارة سياساتها وتطبيقها بشكل مركزي.

"سيساعد جعل جافا أكثر قابلية للتكوين على مساعدة مديري تكنولوجيا المعلومات على نشر جافا بالطريقة الصحيحة لمتطلبات المنظمة" ، قال كانديك. "تعد مستويات الأمان الافتراضية الأعلى والفصل السهل عن المستعرض بداية جيدة ، لكنني أعتقد أننا سنحتاج إلى تحسين قدرات القائمة البيضاء للمتصفحات أو مكونات Java الإضافية."

في الوقت الحالي ، آلية المنطقة في IE يقول Kandek: إن الموجة الأخيرة من الهجمات التي تعتمد على Java ، بما فيها تلك التي أدت إلى خروقات أمنية في Microsoft و Facebook و Apple و Twitter ، ربما أضرت بأضرار Java. سمعة ، قال Eiram. ولكن إذا كانت الشركات تثق في جافا بأنها آمنة ومأمونة ، "لم يلتفتوا إلى التحذيرات الوفيرة التي قدمها الباحثون لبعض الوقت."

ليست سمعة جافا فقط هي التي ربما تضررت. ومن المرجح أن بعض الشركات تسأل عما إذا كان ضعف أمان جافا ينعكس في منتجات أوراكل الأخرى ، حسبما قال جودياك.

يأمل إرام أن تؤدي الهجمات الأخيرة إلى إعادة تقييم الشركات ما إذا كانت بحاجة إلى جافا في بيئاتها.

"الشركات بشكل عام يهاجر إلى تطبيقات نقية تعتمد على HTML5 والابتعاد عن المكونات الإضافية مثل Flash و Silverlight و Java. "سوف تستمر جافا في النمو على جانب الخادم ، حيث تكون هناك حاجة شديدة إلى قدرات المعالجة القوية."