Penyelidik: Masalah keselamatan Jawa tidak dapat diselesaikan segera

Sejak awal tahun ini, penggodam telah mengeksploitasi kelemahan di Jawa untuk menjalankan pelbagai serangan terhadap syarikat termasuk Microsoft, Apple, Facebook dan Twitter, serta pengguna di rumah. Oracle telah berusaha untuk bertindak balas dengan lebih cepat terhadap ancaman dan untuk menguatkan perisian Javanya, namun para ahli keselamatan mengatakan serangan itu tidak dapat dikalahkan dalam waktu dekat.

Hanya minggu ini, penyelidik keselamatan mengatakan para penggodam di belakang MiniDuke baru-baru ini Kempen cyberespionage menggunakan eksploitasi berasaskan Web untuk Java dan Internet Explorer 8, bersama dengan mengeksploitasi Adobe Reader, untuk mengkompromikan sasaran mereka. Pada bulan lalu, malware MiniDuke menjangkiti 59 buah komputer milik organisasi kerajaan, institut penyelidikan, think tank dan syarikat swasta dari 23 negara.

Java exploit yang digunakan oleh MiniDuke menargetkan kerentanan yang belum ditambal oleh Oracle pada masa serangan itu, kata Kaspersky Lab dalam jawatan blog. Kerentanan yang dibuat umum atau dieksploitasi sebelum patch dilepaskan dikenali sebagai kelemahan sifar hari, beberapa di antaranya telah digunakan dalam serangan terhadap Java tahun ini.

[Bacaan lanjut: Cara menghapus malware dari PC Windows Anda]

Pada bulan Februari, jurutera perisian dari Microsoft, Apple, Facebook dan Twitter mempunyai komputer riba kerja mereka yang dijangkiti dengan perisian hasad selepas melawat laman web komuniti untuk pemaju iOS yang telah dicuri dengan mengeksploitasi Java zero-day. Pelanggaran tersebut adalah hasil daripada serangan "lubang penyiraman" yang lebih besar yang dilancarkan dari beberapa laman web yang turut mempengaruhi agensi-agensi kerajaan dan syarikat-syarikat di industri lain, The Ledger melaporkan.

Oracle telah menanggapi serangan dengan mengeluarkan dua pembaruan keamanan darurat sejak permulaan tahun dan mempercepatkan pembebasan patch yang dijadualkan. Ia juga telah meningkatkan tetapan lalai kawalan keselamatan untuk applet Java tinggi, mencegah aplikasi Java berasaskan web daripada menjalankan dalam pelayar tanpa pengesahan pengguna.

Pakar keselamatan mengatakan ini adalah permulaan yang baik tetapi berfikir lebih banyak harus dilakukan untuk meningkatkan kadar penggunaan untuk kemas kini dan untuk meningkatkan pengurusan kawalan keselamatan Java dalam persekitaran korporat. Lebih penting lagi, mereka berkata, Oracle perlu mengkaji semula kod Java secara menyeluruh untuk mengenal pasti dan membetulkan isu keselamatan asas. Mereka percaya Java akan lebih selamat hari ini jika Oracle telah mendengar amaran industri keselamatan selama bertahun-tahun.

"Sukar untuk mengatakan apa yang berlaku secara dalaman di Oracle selama beberapa tahun yang lalu, tetapi berdasarkan kesan luar yang saya rasakan mereka boleh bertindak balas dengan lebih cepat, "kata Carsten Eiram, ketua pegawai penyelidik di firma perunding Risk Based Security, melalui e-mel. "Saya tidak pasti Oracle benar-benar mengambil ramalan Java sebagai sasaran utama seterusnya."

Oracle tidak mungkin dapat menghalang serangan baru-baru ini, katanya, tetapi ia akan berada dalam kedudukan yang lebih baik jika ia bertindak lebih awal

"Saya fikir keadaan semasa Jawa adalah disebabkan oleh fakta bahawa Sun mendorong Jawa sangat kuat ketika mereka masih memilikinya," kata Costin Raiu, pengarah penyelidikan global dan pasukan analisis di Kaspersky Lab, melalui e-mel. "Selepas Oracle membeli Java, mungkin sedikit minat untuk masuk ke projek ini."

Oracle memperoleh Java ketika membeli Sun Microsystems pada tahun 2010. Perangkat lunak ini dipasang pada 1.1 miliar komputer desktop di seluruh dunia, menurut informasi di Java.com. Pelaksanaannya yang meluas dan bersifat lintas platform menjadikannya sasaran yang menarik untuk penggodam. Penyelidik di Penjelajahan Keselamatan, firma penyelidikan kelemahan Poland, telah menemui dan melaporkan 55 kelemahan dalam runtuhan Java yang dikendalikan oleh Oracle, IBM dan Apple sepanjang tahun lalu, 36 daripada mereka dalam versi Oracle.

"Pada bulan April 2012, kami melaporkan 30 isu keselamatan kepada Oracle yang menjejaskan Java SE 7," kata pengasas Keselamatan Adam Gowdiak, melalui e-mel. "Ini adalah masa yang sama trojan Flashback Mac OS ditemui di dalam hutan. Kedua-duanya sepatutnya berfungsi sebagai panggilan bangun untuk Oracle. "

Kaspersky Lab telah melaporkan bahawa pada masa tertentu tahun lepas, satu daripada tiga pengguna menjalankan versi Java yang terdedah kepada salah satu daripada lima eksploitasi utama yang digunakan oleh penggodam. Pada masa puncak, lebih daripada 60 peratus pengguna mempunyai versi Java yang terdedah.

Menyediakan mekanisme kemas kini yang senyap dan automatik seperti yang dijumpai di Chrome, Flash Player, Adobe Reader dan perisian lain mungkin berguna kepada pengguna, kata Eiram.

Bermula dengan Java 7 Update 10, dikeluarkan pada bulan Disember, Oracle telah menyediakan pilihan baru dalam panel kawalan Java yang membolehkan pengguna menonaktifkan plugin Java dari pelayar atau memaksa Java ke minta pengesahan sebelum applet Java dilaksanakan. Sejak Java 7 Update 11, pengaturan default untuk mekanisme ini telah ditetapkan ke tinggi, mencegah applet Java yang tidak ditandatangani dari berjalan secara otomatis tanpa pengesahan pengguna.

"Saya percaya fitur keamanan baru di Java menunjukkan bahawa Oracle bergerak ke arah yang benar, "kata Wolfgang Kandek, CTO of Qualys, yang menjual produk pemantauan dan pematuhan dasar kelemahan.

"Saya mengalu-alukan keupayaan penyenaraian putih di Jawa, iaitu, melarang semua tetapi tapak yang diluluskan untuk menggunakan mekanisme applet, "Kata Kandek. "Pada masa yang sama, pengurusan pusat keupayaan konfigurasi Java, iaitu melalui Windows GPO [Policy Group], harus ditingkatkan."

Kandek percaya Oracle menghadapi tantangan yang lebih besar dalam mengerakkan Jawa terhadap serangan daripada perusahaan perangkat lunak lain yang dilakukan dengan produk mereka sendiri. "Java adalah bahasa pengaturcaraan lengkap dan perlu dapat melaksanakan tindakan penuh … termasuk tugas sistem operasi peringkat rendah."

Yang mengatakan, Eiram dan Gowdiak kedua-duanya berkata Oracle perlu meningkatkan kualiti kod Javanya

"Penjual perisian mempunyai tanggungjawab untuk memberikan kod keselamatan yang berkualiti, dan vendor perisian yang digunakan secara meluas seperti Flash Player atau Java tidak mempunyai alasan," Eiram berkata. "Adobe menyedari ini dan telah berusaha keras untuk memperbaiki kod mereka. Microsoft melakukan perkara yang sama tahun lalu. Sudah tiba masanya bagi Oracle untuk mengikuti jejak langkah itu. "

Terdapat tanda-tanda bahawa pemaju Oracle tidak menyedari perangkap keselamatan Java dan tinjauan kod keselamatan sama ada sama sekali tidak dilakukan atau tidak cukup komprehensif, kata Gowdiak. Banyak isu yang dikenal pasti oleh Penjelajahan Keselamatan melanggar garis panduan pengekodan Oracle yang tersendiri untuk Java, katanya.

"Kami mendapati banyak kelemahan yang sepatutnya dihapuskan oleh syarikat pada masa tinjauan keselamatan menyeluruh terhadap platform sebelum pelepasan, "kata Gowdiak.

Oracle perlu melaksanakan Cekak Siklus Pembangunan Secure yang solid untuk Java untuk meredakan kelemahan asas dan meningkatkan kematangan kod tersebut, kata Eiram. Satu SDL adalah proses pembangunan perisian yang menekankan tinjauan keselamatan kod dan amalan pembangunan yang selamat untuk mengurangkan kelemahan.

Pendekatan terbaik adalah untuk memastikan pemaju dilatih dengan betul dengan mengadakan sesi latihan dalaman, seperti yang dilakukan oleh Microsoft, dan mengkaji semula kod sedia ada dengan bantuan daripada juruaudit luar, kata Eiram. "Oracle mungkin juga mengontrak beberapa penyelidik yang mahir yang melihat kod mereka pula."

Oracle telah mengatakan ia akan mempercepatkan kitaran penampalan untuk Java dari 4 bulan hingga 2 bulan dan berjanji untuk berkomunikasi lebih baik mengenai isu-isu keselamatan Java semua khalayak, termasuk pengguna, profesional IT, penyelidik akhbar dan keselamatan. Selang masa yang lama antara kemaskini keselamatan Jawa dan kekurangan komunikasi di Oracle mengenai keselamatan telah lama dikritik.

"Ia akan menarik untuk mengetahui sama ada mereka akan menghormati janji mereka untuk berkomunikasi dengan lebih baik dengan orang ramai dan tekan. Pada masa lalu, mereka telah - pada pendapat saya - sungguh-sungguh sombong dan enggan mengulas mengenai kelemahan yang dilaporkan, dan juga kesahihannya, "kata Eiram.

Dasar tidak mengulas mengenai isu-isu keselamatan, yang dikatakan Oracle adalah perlu untuk melindungi pengguna, menyebabkan pengguna tidak mengetahui sama ada ancaman dilaporkan secara luaran adalah benar atau apa yang dilakukan oleh Oracle mengenai mereka, katanya. "Pendekatan ini untuk keselamatan dan responsif adalah dalam milenium sebelumnya."

Pakar keselamatan tidak mengharapkan Oracle untuk menyelesaikan semua masalah dalam masa terdekat dengan cara yang akan menghalang penyerang yang ditentukan.

"Saya tidak meramalkan Masalah keselamatan Jawa akan berakhir tidak lama lagi, "kata Eiram. "Ia mengambil kedua-dua Microsoft dan Adobe seketika untuk menghidupkan bot di sekitar, dan produk mereka masih tertakluk kepada sifar hari [eksploitasi] sekarang dan kemudian. Java mempunyai banyak tawaran penyerang, jadi saya mengharapkan mereka untuk terus fokus mereka sekarang. "

" Saya tidak akan mengharapkan penyelesaian dalam masa terdekat, "kata Kandek. "Pentadbir IT perlu melaburkan masa mereka untuk memahami di mana mereka memerlukan Java di desktop dan di mana mereka boleh menyekatnya."

Pakar keselamatan bersetuju bahawa Java seharusnya dinyahdayakan di mana ia tidak diperlukan, sekurang-kurangnya di paras penyemak imbas. Ramai pengguna tidak tahu bahawa mereka telah memasang Java pada komputer mereka. Itu mungkin mengapa Google dan Mozilla memilih untuk menyekat plugin Java di Chrome dan Firefox, kata Raiu.

Apple juga telah menyenaraihitamkan versi plugin Jawa yang lemah pada Mac OS X, dan Windows mempunyai tetapan registri yang boleh mengehadkan penggunaan Java dalam Internet Explorer ke laman web yang dipercayai.

Walaupun banyak pengguna di dalam rumah tidak memerlukan Java dalam pelayar mereka, orang di beberapa bahagian dunia mungkin. Di Denmark, sebagai contoh, perbankan dalam talian dan laman web kerajaan menggunakan mekanisme log masuk yang dipanggil NemID yang memerlukan sokongan Java, kata Eiram. Kes yang sama mungkin wujud di negara lain.

Dalam kes tersebut, menggunakan ciri klik untuk main dalam Chrome dan Firefox, atau mekanisme Zon di IE, boleh digunakan untuk membiarkan kandungan Java dimuat dari hanya laman web tertentu. Penyelesaian yang kurang teknikal adalah menggunakan satu pelayar dengan bahasa Jawa yang dilumpuhkan untuk tugas-tugas umum, dan pelayar yang berbeza dengan Java yang dibolehkan untuk laman web yang dipercayai yang memerlukan sokongan Java.

Membatasi penggunaan Java dalam persekitaran korporat lebih sulit. Banyak syarikat menggunakan aplikasi berasaskan web dalaman dan luaran yang memerlukan plugin pelayar Java dijalankan. Ciri-ciri seperti klik untuk bermain tidak sesuai untuk persekitaran korporat di mana dasar-dasar perlu dikendalikan dan dikuatkuasakan.

"Membuat Java lebih dikonfigurasikan akan membantu pentadbir IT menggunakan Java dengan cara yang betul untuk keperluan organisasi," kata Kandek. "Tahap keselamatan lalai yang lebih tinggi dan sambungan mudah dari penyemak imbas adalah permulaan yang baik, tetapi saya percaya kami perlu meningkatkan keupayaan penyenaraian putih pelayar atau pemalam Java."

Buat masa ini, mekanisme Zon dalam IE menawarkan keupayaan pengurusan yang paling berskala untuk plugin Java dalam persekitaran korporat, kata Kandek.

Gelombang serangan berasaskan Java baru-baru ini, termasuk yang menyebabkan pelanggaran keselamatan di Microsoft, Facebook, Apple dan Twitter, mungkin telah merosakkan Java reputasi, kata Eiram. Tetapi jika perniagaan mempunyai keyakinan terhadap Jawa sebagai selamat dan selamat, "mereka tidak mengindahkan amaran yang banyak diberikan oleh penyelidik untuk sementara waktu," katanya.

Bukan hanya reputasi Jawa yang mungkin rosak.

Eiram berharap serangan baru-baru ini akan menyebabkan syarikat-syarikat untuk menilai semula sama ada mereka memerlukan Java dalam persekitaran mereka

. "Syarikat-syarikat secara umum berhijrah ke aplikasi berasaskan HTML5 tulen dan bergerak jauh dari pemalam seperti Flash, Silverlight dan Java, "kata Kandek. "Java akan terus berkembang di sisi pelayan, di mana keupayaan pemprosesannya yang kuat diperlukan."