Java, Oracle, хакеры

Безопасность
Oracle Java проблемы безопасностиЧереда взломов, захлестнувшая в последнее время западные сервисы, по разным сообщениям имела общий источник – то ли в Китае, то ли в Восточной Европе и общую цель – похищение данных сотрудников компании, а также общую точку проникновения – зараженный веб-сайт, который использовал уязвимость в Java, чтобы установить malware на компьютеры сотрудников целевых компаний.

Общим уязвимым местом для всех случаев взлома была не ОС или браузер. Это были Java-апплеты в случае с браузерами, и другое ПО, так или иначе связанное с этим популярным языком программирования.

Уязвимость Java для атак, подвергающая угрозе весь компьютер пользователя уже стала “притчей во языцех” и не только для специалистов по безопасности. Общий консенсус производителей компьютеров и пользователей по этому вопросу таков что проще и безопаснее обходиться без Java вообще чем постоянно рисковать безопасностью из-за известных эксплойтов в Java и еще больше из-за неизвестных, которые наверняка продаются на черных рынках.

Oracle известна довольно неспешным обновлением своей платформы, что не очень соответствует духу времен.

Достаточно одной чашки


Эта ситуация напоминает позицию Adobe Flash, бывшую в течение долгого времени объектом нападок Стива Джобса за обилие уязвимостей и плохую поддержку мобильных устройств. Ситуация изменилась два года назад, когда Adobe присоединилась к инициативе Microsoft под названием MAPP – программе раннего обнаружения и устранения уязвимостей, в которой участвуют множество компаний по компьютерной безопасности. Это позволяет оперативнее реагировать на угрозы и своевременно их устранять. К сожалению, Oracle не следует этой практике.

Станет ли ситуация лучше в будущем? Маловероятно, считают эксперты по безопасности.

«Главная сила Java есть одновременно и главная ее слабость – она везде. Разработчик Java, теперь несуществующая компания Sun Microsystems изначально создавала эту среду с прицелом на кроссплатформенность и совместимость между разными системами. Теперь при установке SDK реклама гордо сообщает, что на платформе Java работает больше 3-х миллиардов различных устройств по всему миру. Это очень привлекательный вариант для разработчиков – однажды написанное приложение будет работать везде, на Windows, Linux, Mac, не говоря уже о ворохе менее распространенных платформ».

При такой популярности нет ничего удивительного в том, что злоумышленники тоже проявляют к Java интерес – ведь это дает им доступ к огромному количеству устройств независимо от платформы (написание вирусов под Windows идет гораздо активнее по тем же причинам – большая база регистраций и, зачастую, устаревшее ПО).

Пока Oracle латает уязвимости, найденные исследователями в прошлом месяце, на черном рынке продаются свежие эксплойты (по $5000 за штуку – неплохой бизнес. Как говорится, если вы не будете платить за безопасность своего ПО, за это заплатит кто-то другой...)

Загружая malware, снаряженный этими эксплойтами на веб-сайты с большим трафиком можно просто ждать, пока ваш вредоносный код проникает во все устройства, зашедшие не на тот URL. Именно это случилось в случаях известных хаков Facebook, Apple и так далее.

После проникновения на компьютер жертвы, хакер может установить на него бэкдор, украсть данные, удаленно управлять им и творить прочие безобразия пока эксплойт не будет исправлен, но к тому времени скорее всего найдут другой и все начнется сначала. Более того, учитывая что значительное число пользователей, устанавливающих инструменты Java на свои машины сейчас – это разработчики, злоумышленник может воспользоваться полученным доступом чтобы встраивать вредоносный код в разрабатываемые приложения.

«Java популярна у пользователей, а потому и у взломщиков. С Flash было то же самое.» — высказывает свое мнение независимый эксперт по безопасности Элиотт Картрайт. «Ее будут атаковать пока она не потеряет популярность, либо не будет полностью удалена с компьютеров пользователей. Тогда хакеры выберут новую цель и переключатся на нее. Но решение «снести» сейчас неприемлемо. Java уже не так популярна как раньше, но все же слишком распространена чтобы сделать полный отказ от нее экономически нецелесообразным».

Платформа Java входит в состав многих инструментов разработки, например для Android – это часть Android SDK, как результат все разработчики оказываются уязвимы каждый раз когда выходит новый эксплойт – хотя сам Android в безопасности.

Также компоненты Java входят в состав многих бизнес-систем, которые к тому же намеренно не обновляются, так как это может привести к их неправильной работе.

Пока что, лучшее что вы можете сделать сейчас – удалить компоненты Java с ПК, отключить плагин в браузере (возможно стоит завести отдельный браузер с плагином для тех случаев когда он вам понадобится).

Однако в долговременной перспективе, будущее Java зависит от Oracle и от того, пересмотрит ли компания свои подходы к обеспечению безопасности.

Пока что все апдейты разрабатываются и тестируются только самой Oracle, сторонние фирмы не допускаются к этому процессу, а он может занять приличное время. В частности, до их пор не известно, что за эксплойт использовался при взломе Apple. «Если бы Oracle делился с нами информацией, мы бы могли латать дыры гораздо быстрее.» — сообщает один из сотрудников F-Secure. «Мы бы могли распределять работу – одни ищут уязвимости, другие их устраняют, третьи производят тестирование. Но Oracle все делает сам, а в такой ситуации это все равно что вместо того чтобы поставить москитную сетку на открытое окно, отбиваться от комаров газетой. Им нужно в ближайшее время улучшить взаимодействие с сообществом разработчиков и перейти к более эффективным практикам поиска уязвимостей, чем реактивная – например, подобно Google и другим, выплачивать премии за найденные». Oracle никак не комментирует эти заявления.

Для обычных пользователей – не разработчиков, которым без Java не обойтись, лучшим из вариантов является переход на HTML 5, в котором плагины Java и Flash будут не нужны. Но до этого момента еще надо дожить. К тому же, если Java станет неактуальна, хакеры просто поменяют вектор атаки. Абсолютно безопасных решений не существует, и это следует помнить.

Комментарии (0)


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn