Investigadores: los problemas de seguridad de Java no se resolverán pronto

Desde principios de año, los hackers han estado explotando vulnerabilidades en Java para llevar a cabo una serie de ataques contra compañías como Microsoft, Apple, Facebook y Twitter, así como también usuarios domésticos. Oracle ha hecho un esfuerzo para responder más rápidamente a las amenazas y para fortalecer su software Java, pero los expertos en seguridad dicen que es poco probable que los ataques desaparezcan pronto.

Esta semana, los investigadores de seguridad dijeron que los piratas informáticos detrás del recientemente descubierto MiniDuke La campaña cyberespionage utilizó exploits basados ​​en web para Java e Internet Explorer 8, junto con un exploit de Adobe Reader, para comprometer sus objetivos. El mes pasado, el malware MiniDuke infectó 59 computadoras pertenecientes a organizaciones gubernamentales, institutos de investigación, grupos de expertos y compañías privadas de 23 países.

El exploit Java utilizado por MiniDuke apuntaba a una vulnerabilidad que no había sido reparada por Oracle en el momento de los ataques, dijo Kaspersky Lab en una publicación de blog. Las vulnerabilidades que se hacen públicas o se explotan antes de lanzar un parche se conocen como vulnerabilidades de día cero, varias de las cuales se han utilizado en los ataques contra Java este año.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

En febrero, los ingenieros de software de Microsoft, Apple, Facebook y Twitter tenían sus laptops de trabajo infectadas con malware después de visitar un sitio web de la comunidad para desarrolladores de iOS que habían sido manipulados con un exploit Java zero-day. Las infracciones fueron el resultado de un ataque de "abrevadero" más grande lanzado desde varios sitios web que también afectó a agencias gubernamentales y empresas de otras industrias, informó The Security Ledger.

Oracle respondió a los ataques emitiendo dos actualizaciones de seguridad de emergencia desde la comienzo del año y acelerar el lanzamiento de un parche programado. También ha aumentado la configuración predeterminada de los controles de seguridad para los applets de Java, evitando que las aplicaciones Java basadas en Web se ejecuten dentro de los navegadores sin la confirmación del usuario.

Los expertos en seguridad dicen que es un buen comienzo, pero que se debe hacer más para aumentar la tasa de adopción de actualizaciones y para mejorar la gestión de los controles de seguridad de Java en entornos corporativos. Lo que es más importante, dicen, Oracle debe revisar a fondo su código Java para identificar y solucionar los problemas de seguridad básicos. Creen que Java estaría más seguro hoy si Oracle hubiera escuchado las advertencias de la industria de la seguridad a lo largo de los años.

"Es difícil decir lo que ha estado sucediendo internamente en Oracle durante los últimos años, pero basado en una impresión externa que siento podrían haber reaccionado antes ", dijo Carsten Eiram, director de investigaciones de la firma consultora Risk Based Security, por correo electrónico. "No estoy seguro de que Oracle realmente tomara en serio las predicciones de que Java sería el próximo gran objetivo".

Es poco probable que Oracle haya podido prevenir los ataques recientes, dijo, pero estaría en una mejor posición si hubiera actuado antes. para asegurar su código y agregar más capas de seguridad.

"Creo que el estado actual de la seguridad de Java se debe al hecho de que Sun presionó mucho a Java cuando aún lo tenían", dijo Costin Raiu, director de investigación global. y el equipo de análisis de Kaspersky Lab, por correo electrónico. "Después de que Oracle compró Java, quizás se interesó poco en este proyecto".

Oracle adquirió Java cuando compró Sun Microsystems en 2010. El software está instalado en 1.100 millones de computadoras de escritorio en todo el mundo, según la información de Java.com. Su despliegue generalizado y su naturaleza multiplataforma lo convierten en un objetivo atractivo para los piratas informáticos. Investigadores de Security Explorations, una firma polaca de investigación de vulnerabilidades, encontraron e informaron 55 vulnerabilidades en los tiempos de ejecución de Java mantenidos por Oracle, IBM y Apple durante el año pasado, 36 de ellos en la versión de Oracle.

"En abril de 2012, informamos 30 problemas de seguridad a Oracle que afectaban a Java SE 7", dijo Adam Gowdiak, fundador de Security Explorations, por correo electrónico. "Esto fue casi al mismo tiempo que se encontró el troyano Flashback Mac OS en la naturaleza. Ambos deberían haber funcionado como una llamada de atención para Oracle ".

Kaspersky Lab informó que, en un momento dado del año pasado, uno de cada tres usuarios estaba ejecutando una versión de Java que era vulnerable a uno de los cinco principales exploits que utilizaba. piratas informáticos. En las horas punta, más del 60 por ciento de los usuarios tenían instalada una versión de Java vulnerable.

Proporcionar un mecanismo de actualización silencioso y automático como el que se encuentra en Chrome, Flash Player, Adobe Reader y otro software podría ser útil para los consumidores, dijo Eiram. Sin embargo, las empresas probablemente deshabilitarán tales características, dijo.

A partir de Java 7 Update 10, lanzado en diciembre, Oracle ha proporcionado nuevas opciones en el panel de control de Java que permiten a los usuarios desactivar el plugin de Java de los navegadores o forzar a Java a pida confirmación antes de que se ejecuten los applets de Java. Desde Java 7 Update 11, la configuración predeterminada para este mecanismo se ha establecido en alto, evitando que los applets Java sin firmar se ejecuten automáticamente sin confirmación del usuario.

"Creo que las nuevas características de seguridad en Java Demostrar que Oracle se está moviendo en la dirección correcta ", dijo Wolfgang Kandek, CTO de Qualys, que vende productos de gestión de vulnerabilidades y cumplimiento normativo. Hacer que Java sea aún más configurable ayudaría a los administradores de TI a implementarlo de una manera que cumpla con los requisitos de sus organizaciones.

"Daría la bienvenida a las listas blancas en Java, es decir, prohibiría que todos los sitios aprobados utilizaran el mecanismo de applet. "Dijo Kandek. "Al mismo tiempo, debería mejorarse la administración central de las capacidades de configuración de Java, es decir, a través de GPO de Windows [Política de grupo]."

Kandek cree que Oracle enfrenta un desafío mayor al endurecer Java contra ataques que otras compañías de software. sus propios productos. "Java es un lenguaje de programación completo y necesita poder realizar toda la gama de acciones … incluidas las tareas de bajo nivel del sistema operativo."

Dicho esto, Eiram y Gowdiak dijeron que Oracle necesita mejorar la calidad de su código Java desde una perspectiva de seguridad, porque ahora mismo es relativamente fácil encontrar vulnerabilidades.

"Los proveedores de software tienen la responsabilidad de proporcionar un código seguro de cierta calidad, y los proveedores de software ampliamente desplegado como Flash Player o Java simplemente no tienen excusa". Eiram dijo. "Adobe se dio cuenta de esto y realizó un esfuerzo serio y exitoso para mejorar su código. Microsoft hizo lo mismo hace muchos años. Es hora de que Oracle siga esos pasos. "

Hay indicios de que los desarrolladores de Oracle desconocen las trampas de seguridad de Java y que las revisiones de seguridad del código no se realizan del todo o no son lo suficientemente exhaustivas, dijo Gowdiak. Muchos de los problemas identificados por Security Explorations violan las propias pautas de codificación segura de Oracle para Java, dijo.

"Encontramos muchos defectos que deberían haber sido eliminados por la empresa en el momento de una revisión exhaustiva de seguridad de la plataforma antes de su publicación. lanzamiento, "dijo Gowdiak.

Oracle debería implementar un sólido ciclo de vida de desarrollo seguro para Java para eliminar las vulnerabilidades básicas y aumentar la madurez del código, dijo Eiram. Un SDL es un proceso de desarrollo de software que enfatiza revisiones de seguridad del código y prácticas seguras de desarrollo para reducir vulnerabilidades.

El mejor enfoque sería asegurar que los desarrolladores reciban la capacitación adecuada mediante sesiones de capacitación internas, como hizo Microsoft, y revisar el código existente con ayuda de auditores externos, dijo Eiram. "Oracle también podría contratar a algunos de los investigadores expertos que están mirando su código de todos modos".

Oracle dijo que aceleraría el ciclo de parches para Java de 4 meses a 2 meses y prometió comunicarse mejor sobre los problemas de seguridad de Java con todos los públicos, incluidos los consumidores, los profesionales de TI, la prensa y los investigadores de seguridad. Los largos intervalos entre las actualizaciones de seguridad de Java y la falta de comunicación de Oracle sobre la seguridad han sido criticados durante mucho tiempo.

"Será interesante ver si cumplirán su promesa de comunicarse mejor con el público y la prensa. En el pasado, han sido, en mi opinión, francamente arrogantes y se han negado a comentar vulnerabilidades informadas, e incluso su validez ", dijo Eiram.

La política de no comentar sobre cuestiones de seguridad, que Oracle dijo que era necesaria para proteger Según los usuarios, los usuarios no sabían si las amenazas informadas externamente eran reales o qué estaba haciendo Oracle con ellas, dijo. "Este enfoque de seguridad y capacidad de respuesta pertenece al milenio anterior".

Los expertos en seguridad no esperan que Oracle resuelva todos los problemas en el futuro cercano de una manera que disuada a los atacantes determinados.

"No preveo Los problemas de seguridad de Java terminan pronto ", dijo Eiram. "A Microsoft y Adobe les tomó un tiempo cambiar el rumbo, y sus productos aún están sujetos a exploits de día cero de vez en cuando. Java tiene mucho que ofrecer a los atacantes, por lo que espero que se mantengan enfocados en él por ahora. "

" No esperaría soluciones pronto ", dijo Kandek. "Los administradores de TI deben invertir su tiempo en comprender dónde necesitan Java en el escritorio y dónde pueden restringirlo".

Los expertos en seguridad acuerdan que Java debería desactivarse donde no sea necesario, al menos en el nivel del navegador. Muchos usuarios ni siquiera saben que tienen Java instalado en sus computadoras. Esa es probablemente la razón por la cual Google y Mozilla optaron por restringir el complemento de Java en Chrome y Firefox, dijo Raiu.

Apple también incluyó versiones vulnerables del complemento de Java en Mac OS X, y Windows tiene una configuración de registro que puede limitar el uso de Java en Internet Explorer a sitios web de confianza.

Mientras que muchos usuarios domésticos no necesitan Java en sus navegadores, las personas en algunas partes del mundo pueden hacerlo. En Dinamarca, por ejemplo, los sitios web de banca en línea y gubernamentales usan un mecanismo de inicio de sesión llamado NemID que requiere soporte de Java, dijo Eiram. Casos similares pueden existir en otros países.

En esos casos, usar la función de hacer clic para jugar en Chrome y Firefox, o el mecanismo de Zonas en IE, podría usarse para permitir que el contenido Java se cargue solo desde ciertos sitios web. Una solución menos técnica sería usar un navegador con Java desactivado para tareas generales, y un navegador diferente con Java habilitado para sitios web confiables que necesitan soporte de Java.

Restringir el uso de Java en entornos corporativos es más difícil. Muchas empresas usan aplicaciones internas y externas basadas en la web que requieren el plugin del navegador Java para ejecutarse. Las características como click-to-play no son adecuadas para entornos corporativos donde las políticas necesitan ser administradas y aplicadas centralmente.

"Hacer que Java sea más configurable ayudará a los administradores de TI a implementar Java de la manera adecuada para los requisitos de la organización", dijo Kandek. "Los niveles de seguridad predeterminados más altos y la fácil desconexión del navegador son un buen comienzo, pero creo que tendremos que mejorar las capacidades de inclusión en listas blancas de los navegadores o los complementos de Java".

Por el momento, el mecanismo de Zona en IE ofrece las capacidades de administración más escalables para el plugin de Java en entornos corporativos, dijo Kandek.

La reciente ola de ataques basados ​​en Java, incluido el que dio lugar a violaciones de seguridad en Microsoft, Facebook, Apple y Twitter, podría haber dañado Java reputación, dijo Eiram. Pero si las empresas tenían confianza en Java como seguro, "no han estado siguiendo las advertencias abundantes proporcionadas por los investigadores durante un tiempo", dijo.

No es solo la reputación de Java que podría haberse dañado. Es probable que algunas compañías pregunten si la mala seguridad de Java se refleja en otros productos de Oracle, dijo Gowdiak.

Eiram espera que los recientes ataques causen que las compañías reevalúen si necesitan Java en sus entornos.

"Empresas en general están migrando a aplicaciones puras basadas en HTML5 y alejándose de complementos como Flash, Silverlight y Java ", dijo Kandek. "Java seguirá creciendo en el lado del servidor, donde sus potentes capacidades de procesamiento son absolutamente necesarias".