Peneliti: Masalah keamanan Java tidak mungkin diselesaikan segera

Sejak awal tahun, peretas telah mengeksploitasi kerentanan di Jawa untuk melakukan serangkaian serangan terhadap perusahaan termasuk Microsoft, Apple, Facebook dan Twitter, serta pengguna rumahan. Oracle telah berusaha untuk merespon lebih cepat terhadap ancaman dan untuk memperkuat perangkat lunak Java-nya, tetapi para ahli keamanan mengatakan serangan itu tidak akan segera berakhir.

Baru minggu ini, para peneliti keamanan mengatakan para peretas di balik MiniDuke yang baru-baru ini ditemukan. Kampanye cyberespionage menggunakan eksploitasi berbasis web untuk Java dan Internet Explorer 8, bersama dengan Adobe Reader mengeksploitasi, untuk mengkompromikan target mereka. Bulan lalu, malware MiniDuke menginfeksi 59 komputer milik organisasi pemerintah, lembaga penelitian, think tank dan perusahaan swasta dari 23 negara.

Eksploitasi Java yang digunakan oleh MiniDuke menargetkan kerentanan yang belum ditambal oleh Oracle pada saat itu. serangan, Kaspersky Lab mengatakan dalam posting blog. Kerentanan yang dibuat publik atau dieksploitasi sebelum patch dirilis dikenal sebagai kerentanan zero-day, beberapa di antaranya telah digunakan dalam serangan terhadap Java tahun ini.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pada bulan Februari, teknisi perangkat lunak dari Microsoft, Apple, Facebook, dan Twitter memiliki laptop kerja mereka yang terinfeksi malware setelah mengunjungi situs web komunitas untuk pengembang iOS yang telah dicurangi dengan Java zero-day exploit. Pelanggaran itu adalah hasil dari serangan "penyiraman lubang" yang lebih besar yang diluncurkan dari beberapa situs web yang juga mempengaruhi instansi pemerintah dan perusahaan di industri lain, The Security Ledger melaporkan.

Oracle telah menanggapi serangan dengan mengeluarkan dua pembaruan keamanan darurat sejak awal tahun dan mempercepat pelepasan patch yang dijadwalkan. Ini juga telah meningkatkan pengaturan default dari kontrol keamanan untuk applet Java ke tinggi, mencegah aplikasi Java berbasis Web dari mengeksekusi browser di dalam tanpa konfirmasi pengguna.

Pakar keamanan mengatakan ini adalah awal yang baik tetapi berpikir lebih harus dilakukan untuk meningkatkan tingkat adopsi untuk pembaruan dan untuk meningkatkan manajemen kontrol keamanan Java di lingkungan perusahaan. Lebih penting lagi, mereka mengatakan, Oracle harus benar-benar meninjau kode Java-nya untuk mengidentifikasi dan memperbaiki masalah keamanan dasar. Mereka percaya Java akan lebih aman hari ini jika Oracle telah mendengarkan peringatan industri keamanan selama bertahun-tahun.

"Sulit untuk mengatakan apa yang telah terjadi secara internal di Oracle selama beberapa tahun terakhir, tetapi berdasarkan kesan eksternal yang saya rasakan. mereka bisa bereaksi lebih cepat, ”kata Carsten Eiram, kepala peneliti di firma konsultasi Risk Based Security, melalui email. "Saya tidak yakin Oracle benar-benar menganggap prediksi Jawa sebagai target utama berikutnya dengan serius."

Tidak mungkin Oracle dapat mencegah serangan baru-baru ini, katanya, tetapi akan berada dalam posisi yang lebih baik jika itu bertindak lebih cepat untuk mengamankan kodenya dan menambahkan lebih banyak lapisan keamanan.

"Saya pikir keadaan keamanan Java saat ini adalah karena fakta bahwa Sun mendorong Java sangat kuat ketika mereka masih memilikinya," kata Costin Raiu, direktur penelitian global dan tim analisis di Kaspersky Lab, melalui email. "Setelah Oracle membeli Java, mungkin sedikit minat masuk ke proyek ini."

Oracle mengakuisisi Java ketika membeli Sun Microsystems pada tahun 2010. Perangkat lunak ini diinstal pada 1,1 miliar komputer desktop di seluruh dunia, menurut informasi di Java.com. Penyebarannya yang luas dan sifat lintas platform membuatnya menjadi target yang menarik bagi peretas. Para peneliti di Security Explorations, sebuah perusahaan penelitian kerawanan Polandia, telah menemukan dan melaporkan 55 kerentanan di Java runtimes yang dikelola oleh Oracle, IBM dan Apple selama setahun terakhir, 36 dari mereka dalam versi Oracle.

“Pada bulan April 2012, kami melaporkan 30 masalah keamanan ke Oracle yang mempengaruhi Java SE 7,” kata Adam Gowdiak, pendiri Exploration Security, melalui email. “Ini sekitar waktu yang sama trojan Flashback Mac OS ditemukan di alam liar. Keduanya harus bekerja sebagai panggilan bangun untuk Oracle. ”

Kaspersky Lab melaporkan bahwa pada waktu tertentu tahun lalu, satu dari tiga pengguna menjalankan versi Java yang rentan terhadap salah satu dari lima eksploitasi besar yang digunakan oleh peretas. Pada saat-saat sibuk, lebih dari 60 persen pengguna memiliki versi Java yang rentan terinstal.

Menyediakan mekanisme pembaruan otomatis yang senyap seperti yang ditemukan di Chrome, Flash Player, Adobe Reader, dan perangkat lunak lain mungkin bermanfaat bagi konsumen, kata Eiram. Namun, bisnis mungkin akan menonaktifkan fitur-fitur tersebut, katanya.

Dimulai dengan Java 7 Update 10, dirilis pada bulan Desember, Oracle telah menyediakan opsi baru di panel kontrol Java yang memungkinkan pengguna untuk menonaktifkan plugin Java dari browser atau memaksa Java untuk meminta konfirmasi sebelum mengeksekusi applet Java. Sejak Java 7 Update 11, pengaturan default untuk mekanisme ini telah diatur ke tinggi, mencegah applet Java unsigned untuk berjalan secara otomatis tanpa konfirmasi pengguna.

“Saya percaya fitur keamanan baru di Java menunjukkan bahwa Oracle bergerak ke arah yang benar, ”kata Wolfgang Kandek, CTO Qualys, yang menjual produk-produk manajemen kerentanan dan kepatuhan kebijakan. Membuat Java lebih dapat dikonfigurasi akan membantu administrator TI untuk menerapkannya dengan cara yang memenuhi persyaratan organisasi mereka.

“Saya akan menyambut kemampuan daftar putih di Java, yaitu, melarang semua situs yang disetujui untuk menggunakan mekanisme applet, "Kata Kandek. "Pada saat yang sama, manajemen pusat dari kemampuan konfigurasi Java, yaitu, melalui Windows GPO [Kebijakan Grup], harus ditingkatkan."

Kandek percaya Oracle menghadapi tantangan yang lebih besar dalam pengerasan Java terhadap serangan daripada perusahaan perangkat lunak lain lakukan dengan produk mereka sendiri. "Java adalah bahasa pemrograman yang lengkap dan harus mampu melakukan keseluruhan aksi … termasuk tugas sistem operasi tingkat rendah."

Yang mengatakan, Eiram dan Gowdiak keduanya mengatakan bahwa Oracle perlu meningkatkan kualitas kode Java-nya. dari perspektif keamanan, karena saat ini relatif mudah untuk menemukan kerentanan.

"Vendor perangkat lunak memiliki tanggung jawab untuk menyediakan kode aman dengan kualitas tertentu, dan vendor perangkat lunak yang banyak digunakan seperti Flash Player atau Java tidak memiliki alasan," Kata Eiram. “Adobe menyadari hal ini dan telah membuat upaya serius dan sukses untuk meningkatkan kode mereka. Microsoft melakukan hal yang sama bertahun-tahun lalu. Sudah waktunya bagi Oracle untuk mengikuti jejak mereka. ”

Ada indikasi bahwa pengembang Oracle tidak menyadari jebakan keamanan Java dan bahwa tinjauan keamanan kode tidak dilakukan sama sekali atau tidak cukup komprehensif, kata Gowdiak. Banyak masalah yang diidentifikasi oleh Explorations Keamanan melanggar pedoman kode aman Oracle sendiri untuk Java, katanya.

"Kami menemukan banyak kekurangan yang seharusnya telah dihilangkan oleh perusahaan pada saat peninjauan keamanan menyeluruh dari platform sebelum nya. rilis, "kata Gowdiak.

Oracle harus menerapkan Siklus Hidup Pengembangan Aman yang kuat untuk Java untuk menyingkirkan kerentanan dasar dan meningkatkan kematangan kode, Eiram mengatakan. SDL adalah proses pengembangan perangkat lunak yang menekankan tinjauan keamanan kode dan praktik pengembangan yang aman untuk mengurangi kerentanan.

Pendekatan terbaik adalah memastikan pengembang dilatih dengan baik dengan mengadakan sesi pelatihan internal, seperti yang dilakukan Microsoft, dan untuk meninjau kode yang ada dengan bantuan dari auditor eksternal, kata Eiram. "Oracle mungkin juga mengontrak beberapa peneliti ahli yang melihat kode mereka."

Oracle mengatakan akan mempercepat siklus patch untuk Java dari 4 bulan hingga 2 bulan dan berjanji untuk berkomunikasi lebih baik tentang masalah keamanan Java dengan semua audiens, termasuk konsumen, profesional TI, pers dan peneliti keamanan. Interval panjang antara pembaruan keamanan Java dan kurangnya komunikasi Oracle pada keamanan telah lama dikritik.

“Akan menarik untuk melihat apakah mereka akan menghormati janji mereka untuk berkomunikasi lebih baik dengan publik dan tekan. Di masa lalu, mereka - menurut saya - benar-benar sombong dan menolak berkomentar tentang kerentanan yang dilaporkan, dan bahkan keabsahannya, "kata Eiram.

Kebijakan tidak berkomentar tentang masalah keamanan, yang menurut Oracle perlu untuk melindungi pengguna, mengakibatkan pengguna tidak mengetahui apakah ancaman yang dilaporkan secara eksternal adalah nyata atau apa yang dilakukan Oracle tentang mereka, katanya. "Pendekatan keamanan dan responsif ini termasuk dalam milenium sebelumnya."

Para ahli keamanan tidak mengharapkan Oracle untuk menyelesaikan semua masalah dalam waktu dekat dengan cara yang akan mencegah para penyerang yang ditentukan.

"Saya tidak memperkirakan Masalah keamanan Jawa berakhir dalam waktu dekat, ”kata Eiram. “Microsoft dan Adobe membutuhkan waktu yang cukup lama untuk membalikkan keadaan, dan produk mereka masih terus dieksploitasi hingga nol hari. Java memiliki banyak hal untuk ditawarkan kepada penyerang, jadi saya berharap mereka tetap fokus pada itu untuk saat ini. ”

" Saya tidak akan mengharapkan solusi dalam waktu dekat, "kata Kandek. "Administrator TI harus menginvestasikan waktu mereka untuk memahami di mana mereka membutuhkan Java di desktop dan di mana mereka dapat membatasinya."

Pakar keamanan setuju bahwa Java harus dinonaktifkan di tempat yang tidak diperlukan, setidaknya di tingkat browser. Banyak pengguna yang bahkan tidak tahu bahwa mereka telah menginstal Java di komputer mereka. Itu mungkin mengapa Google dan Mozilla memilih untuk membatasi plugin Java di Chrome dan Firefox, kata Raiu.

Apple juga telah memasukkan daftar versi rentan dari plugin Java pada Mac OS X, dan Windows memiliki pengaturan registri yang dapat membatasi penggunaan Java di Internet Explorer ke situs web tepercaya.

Meskipun banyak pengguna rumahan tidak memerlukan Java di browser mereka, orang-orang di beberapa bagian dunia mungkin. Di Denmark, misalnya, situs web perbankan dan pemerintah online menggunakan mekanisme login yang disebut NemID yang membutuhkan dukungan Java, kata Eiram. Kasus serupa mungkin ada di negara lain.

Dalam kasus tersebut, menggunakan fitur klik untuk putar di Chrome dan Firefox, atau mekanisme Zona di IE, dapat digunakan untuk membiarkan muatan konten Java hanya dari situs web tertentu. Solusi yang kurang teknis adalah menggunakan satu browser dengan Java yang dinonaktifkan untuk tugas-tugas umum, dan browser yang berbeda dengan Java diaktifkan untuk situs web tepercaya yang memerlukan dukungan Java.

Membatasi penggunaan Java di lingkungan perusahaan lebih sulit. Banyak perusahaan menggunakan aplikasi berbasis web internal dan eksternal yang membutuhkan plugin browser Java untuk dijalankan. Fitur seperti klik untuk bermain tidak cocok untuk lingkungan perusahaan di mana kebijakan perlu dikelola dan ditegakkan secara terpusat.

"Membuat Java lebih dapat dikonfigurasi akan membantu administrator TI menyebarkan Java dengan cara yang tepat untuk kebutuhan organisasi," kata Kandek. “Tingkat keamanan default yang lebih tinggi dan pemutusan yang mudah dari browser adalah awal yang baik, tetapi saya yakin kami perlu meningkatkan kemampuan daftar putih dari browser atau plugin Java.”

Untuk saat ini, mekanisme Zona di IE menawarkan kemampuan manajemen yang paling skalabel untuk plugin Java di lingkungan perusahaan, kata Kandek.

Gelombang baru-baru ini serangan berbasis Java, termasuk salah satu yang mengakibatkan pelanggaran keamanan di Microsoft, Facebook, Apple dan Twitter, mungkin telah merusak Java reputasi, kata Eiram. Tetapi jika bisnis memiliki kepercayaan di Jawa sebagai aman dan aman, "mereka tidak mengindahkan peringatan berlimpah yang diberikan oleh para peneliti untuk sementara waktu," katanya.

Bukan hanya reputasi Java yang mungkin telah rusak. Ada kemungkinan beberapa perusahaan bertanya apakah keamanan Jawa yang buruk tercermin dalam produk Oracle lainnya, kata Gowdiak.

Eiram berharap serangan baru-baru ini akan menyebabkan perusahaan untuk mengevaluasi kembali apakah mereka membutuhkan Java di lingkungan mereka.

"Perusahaan secara umum bermigrasi ke aplikasi berbasis HTML5 murni dan bergerak menjauh dari plugin seperti Flash, Silverlight, dan Java, ”kata Kandek. “Java akan terus tumbuh di sisi server, di mana kemampuan pemrosesan yang kuat sangat dibutuhkan.”