Java-приложения становятся все уязвимее, но что думают об этом в Oracle?

Сегодня вашему вниманию предлагается статья Люциана Константина, автора ИТ-портала InfoWorld, которая основана на докладах конференции «Black Hat USA 2012». Согласно им, Java-приложения все чаще становятся мишенью для применения веб-эксплойтов, а для таких проникновений постоянно разрабатываются все более полные наборы «эксплойтов». В этом отношении Java-приложения уже «обскакали» Flash и Adobe Reader: злоумышленники активно используют уязвимости разработок на платформе Java, чтобы заражать все новые компьютеры. И, если Oracle не уделит должного внимания безопасности своего продукта, проблема станет только острее. Еще пару лет назад хакеры в основном эксплуатировали уязвимости браузерных плагинов Flash Player и Adobe Reader, но сегодня многие наборы эксплойтов нацелены в основном на уязвимости Java. Об этом сообщает Джейсон Джонс, специалист по безопасности, работающий в HP DVLabs. Это отдел компании «Хьюлетт-Паккард», специализирующийся на исследовании уязвимостей. Джонс внимательно следил за разработкой наиболее распространенных наборов по эксплуатации уязвимостей, в частности, Blackhole и Phoenix, и представил результаты своей работы на минувшей конференции Black Hat. По словам Джонса, уже обозначилась четкая тенденция: разработчики наборов эксплойтов все больше сосредотачиваются на Java. Кроме того, эксплойты, использующие новые уязвимости Java, вводятся в строй гораздо быстрее, чем раньше. В некоторых случаях злоумышленники повторно используют код эксплойтов, который исследователи проблем безопасности опубликовали онлайн, – то есть это случается уже после того, как в Oracle разработали патчи для найденных уязвимостей. Так или иначе, хакеры изменяют эти эксплойты, применяют иные техники обфускации – и защиту антивирусных продуктов удается обойти. «В целом, согласно данным телеметрии, со временем наблюдается рост количества вредоносного ПО, использующего технологии Java», – сообщает Чон Вук Ох (Jeong Wook Oh), специалист центра «Майкрософт» по защите от вредоносного ПО (Microsoft Malware Protection Center). Ох также выступил на конференции «Black Hat» с докладом о последних тенденциях Java-эксплойтов и о вредоносном ПО. Киберпреступники активно применяют Java-эксплойты, поскольку коэффициент результативности подобных атак очень велик. В частности, по данным Джонса, известен эксплойт, интегрированный в Blackhole в 2011 году, с коэффициентом результативности более 80%. Проблема еще и в том, что многие пользователи пренебрегают своевременным обновлением антивирусных продуктов. И сейчас эта проблема только осложняется, поскольку злоумышленники находят новые уязвимости Java всё быстрее. С подобной проблемой ранее приходилось сталкиваться и компании Adobe. Поскольку пользователи недостаточно активно устанавливали патчи для Flash Player и Adobe Reader, пришлось усовершенствовать механизмы обновления этих продуктов, а в случае с Flash Player – даже автоматизировать процесс обновления. Благодаря этому атак на продукты Adobe действительно стало меньше. Кроме того, помогли и другие комплексные меры по обеспечению безопасности – в частности, был внедрен SDL (цикл обеспечения безопасности). Эта стратегия представляет собой серию проверок кода на предмет безопасности, а также предусматривает такие практики разработки, которые позволяют нейтрализовать целые классы уязвимостей. Это могут быть, например, «песочницы» – и для Java тоже существует песочница, в которой теоретически должен изолироваться сторонний код. Тем не менее, Ох считает, что для взлома этой модели достаточно одной-единственной уязвимости – и злоумышленники смогут выполнять вредоносный код прямо в системе. Карстен Эйрам, главный специалист по безопасности, работающий в компании «Secunia», полагает, что в Java присутствует ряд очень серьезных проблем с безопасностью именно на уровне кода. Многие уязвимости Java, по его словам, довольно просты, и их можно устранять в рамках хорошего цикла по обеспечению безопасности. Эйрам исследовал влияние такого цикла, применяемого в «Майкрософт», на общее состояние безопасности пакета «Microsoft Office». Его работа показала, что за несколько лет удалось существенно снизить количество классических уязвимостей, связанных с переполнением буфера. В частности, в Office 2010 они практически отсутствуют. Исследователи сходятся во мнении, что компании Oracle должна принять меры относительно Java-технологий, чтобы уменьшить количество атак. «Автоматические обновления в фоновом режиме будут очень кстати, если Oracle их реализует», – считает Ох. – «Злоумышленники используют именно тот временной интервал, который проходит между выпуском патча и моментом, когда пользователь установит его на компьютер». Большинство используемых в настоящее время эксплойтов Java связаны с уязвимостями, для которых Oracle уже разработал патчи. Тем не менее, Эйрам считает, что это продлится недолго, и вскоре атакам начнут подвергаться неисправленные «уязвимости нулевого дня» – такие, которые в настоящее время чаще всего атакуются во Flash. Из-за подобных атак придется несладко и Oracle. Дело в том, считает Эйрам, что в компании не лучшим образом организовано оперативное реагирование на возникающие проблемы. Oracle избегает открыто обсуждать проблемы с безопасностью и не сразу признает само их наличие. Такая практика наблюдается даже при общениями со специалистами в области безопасности, которые сообщают Oracle о найденных уязвимостях. Поставщики ПО, которые заняты разработкой широко распространенных браузерных плагинов – например, Flash и Adobe Reader – обязаны делать их максимально безопасными, а также как можно более оперативно сообщать о возникающих проблемах с безопасностью, считает Эйрам. Adobe удалось частично решить подобные проблемы за последние годы, но Oracle по-прежнему реагирует на них медленно и вообще относится к этим проблемам небрежно. «Любое стороннее ПО, которым пользуется широкая аудитория, в будущем может стать мишенью для атак», – уверен Ох, – «Но, пока сам производитель ничего не делает для повышения безопасности своего продукта, – совершенно закономерно, что хакеры будут и дальше использовать уязвимости такого программного обеспечения, и тем активней, чем оно будет популярней. И если злоумышленники достигают высокой результативности, то эта проблема только осложняется». Поскольку ждать помощи от разработчиков плагинов зачастую не приходится, некоторые разработчики браузеров, чтобы защитить своих пользователей, стали выстраивать защиту уже на уровне браузера. Например, Google Chrome автоматически отключает устаревшие плагины, которые могут быть уязвимы. Mozilla ведет черный список плагинов для браузера Firefox – кстати, этот список был применен в апреле текущего года для блокировки уязвимых Java-плагинов в ответ на массовые атаки, направленные против плагинов из старых версий. Функция «click-to-play» (воспроизведение по требованию), реализованная во многих браузерах – это еще одно эффективное средство для борьбы с атаками через плагины, так как она препятствует автоматическому воспроизведению такого стороннего контента. Эта функция уже присутствует в Chrome и в настоящее время встраивается в Firefox. Джонс рекомендует активировать функцию «click-to-play», если она доступна в вашем браузере. Еще один радикальный метод, который он предлагает – при необходимости полностью удалять Java-плагин. К сожалению, в некоторых случаях такой вариант до сих пор является невозможным, особенно в бизнес-среде, где технология Java используется во многих внутренних корпоративных приложениях. Например, по данным Эйрама, некоторые банки до сих пор работают с системами электронных расчетов, построенных на Java-платформе. Источник

Помогаете devby = помогаете ИТ-комьюнити.

Засапортить сейчас.