शोधकर्ता: जावा की सुरक्षा समस्याओं को जल्द ही हल करने की संभावना नहीं है

साल की शुरुआत के बाद, हैकर्स जावा में कमजोरियों का शोषण कर रहे हैं माइक्रोसॉफ्ट, ऐप्पल, फेसबुक और ट्विटर, साथ ही घरेलू उपयोगकर्ताओं सहित कंपनियों के खिलाफ हमलों की एक श्रृंखला को पूरा करने के लिए। ओरेकल ने खतरों को तेज करने और अपने जावा सॉफ़्टवेयर को मजबूत करने का प्रयास किया है, लेकिन सुरक्षा विशेषज्ञों का कहना है कि हमले जल्द ही किसी भी समय छोड़ने की संभावना नहीं है।

इस हफ्ते, सुरक्षा शोधकर्ताओं ने हाल ही में खोले गए मिनीड्यूक के पीछे हैकर साइबेस्पेशन अभियान ने अपने लक्ष्यों के साथ समझौता करने के लिए, एडोब रीडर शोषण के साथ जावा और इंटरनेट एक्सप्लोरर 8 के लिए वेब-आधारित शोषण का उपयोग किया। पिछले महीने, मिनीड्यूक मैलवेयर ने 23 देशों के सरकारी संगठनों, अनुसंधान संस्थानों, थिंक टैंकों और निजी कंपनियों से संबंधित 59 कंप्यूटरों को संक्रमित किया।

मिनीड्यूक द्वारा उपयोग किए जाने वाले जावा शोषण ने एक भेद्यता को लक्षित किया जो ओरेकल द्वारा पैच नहीं किया गया था हमले, कैस्पर्सकी लैब ने एक ब्लॉग पोस्ट में कहा। पैच से पहले सार्वजनिक या शोषित किए जाने वाले भेद्यता को शून्य-दिन की भेद्यता के रूप में जाना जाता है, जिनमें से कई इस वर्ष जावा के खिलाफ हमलों में उपयोग किए गए हैं।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

फरवरी में, माइक्रोसॉफ्ट, ऐप्पल, फेसबुक और ट्विटर के सॉफ़्टवेयर इंजीनियरों के पास आईओएस डेवलपर्स के लिए एक समुदाय वेबसाइट पर जाने के बाद मैलवेयर से संक्रमित उनके काम लैपटॉप थे जो जावा शून्य-दिन शोषण के साथ उलझ गए थे। सिक्योरिटी लेजर ने बताया कि उल्लंघनों ने कई वेबसाइटों से लॉन्च किए गए बड़े "वॉटरिंग होल" हमले का परिणाम दिया था, जो सरकारी एजेंसियों और अन्य उद्योगों में कंपनियों को प्रभावित करता था।

ओरेकल ने दो आपातकालीन सुरक्षा अद्यतन जारी करके हमलों का जवाब दिया है साल की शुरुआत और एक निर्धारित पैच की रिहाई में तेजी लाने। इसने जावा एप्लेट्स के लिए सुरक्षा नियंत्रण की डिफ़ॉल्ट सेटिंग भी बढ़ा दी है, वेब-आधारित जावा अनुप्रयोगों को उपयोगकर्ता की पुष्टि के बिना ब्राउज़र के अंदर निष्पादित करने से रोकता है।

सुरक्षा विशेषज्ञों का कहना है कि यह एक अच्छी शुरुआत है लेकिन सोचने के लिए और अधिक किया जाना चाहिए अपडेट के लिए गोद लेने की दर और कॉर्पोरेट वातावरण में जावा सुरक्षा नियंत्रण के प्रबंधन में सुधार। सबसे महत्वपूर्ण बात यह है कि, ओरेकल को बुनियादी सुरक्षा मुद्दों की पहचान करने और ठीक करने के लिए अपने जावा कोड की पूरी तरह से समीक्षा करनी चाहिए। उनका मानना ​​है कि अगर आजकल ओरेकल ने सुरक्षा उद्योग की चेतावनियों को सुन लिया था तो जावा अधिक सुरक्षित होगा।

"यह कहना मुश्किल है कि पिछले वर्षों से ओरेकल में आंतरिक रूप से क्या चल रहा है, लेकिन बाहरी प्रभाव के आधार पर मुझे लगता है वे जल्द ही प्रतिक्रिया दे सकते थे, "ईमेल के माध्यम से परामर्श फर्म जोखिम आधारित सुरक्षा के मुख्य शोध अधिकारी कार्स्टन ईराम ने कहा। "मुझे यकीन नहीं है कि ओरेकल ने वास्तव में जावा का पूर्वानुमान अगले प्रमुख लक्ष्य को गंभीरता से लिया है।"

यह संभावना नहीं है कि ओरेकल हाल के हमलों को रोक सकता था, लेकिन यह बेहतर स्थिति में होगा अगर उसने जल्द से जल्द कार्य किया हो अपने कोड को सुरक्षित करने और सुरक्षा की और परतों को जोड़ने के लिए।

"मुझे लगता है कि जावा सुरक्षा की वर्तमान स्थिति इस तथ्य के कारण है कि सूर्य ने जावा को बहुत दृढ़ता से धक्का दिया जब वे अभी भी इसका स्वामित्व रखते थे," वैश्विक शोध के निदेशक कॉस्टिन राययू ने कहा और ईमेल के माध्यम से, कैस्पर्सकी लैब में विश्लेषण टीम। "ओरेकल ने जावा खरीदे जाने के बाद, शायद इस परियोजना में थोड़ी दिलचस्पी आई।"

ओरेकल ने जावा में अधिग्रहण किया जब उसने 2010 में सन माइक्रोसिस्टम्स खरीदे। सॉफ्टवेयर दुनिया भर में 1.1 बिलियन डेस्कटॉप कंप्यूटर पर स्थापित है, जावा.com की जानकारी के मुताबिक। इसकी व्यापक तैनाती और क्रॉस-प्लेटफार्म प्रकृति इसे हैकर्स के लिए एक आकर्षक लक्ष्य बनाती है। पोलिश भेद्यता अनुसंधान फर्म, सिक्योरिटी एक्सप्लोरेशंस में रिसर्चर्स ने पिछले साल ओरेकल, आईबीएम और ऐप्पल द्वारा बनाए गए जावा रनटाइम्स में 55 भेद्यताएं पाई हैं और उनमें से 36 ओरेकल के संस्करण में हैं।

ईमेल के माध्यम से कहा, "अप्रैल 2012 में, हमने जावा एसई 7 को प्रभावित करने वाले ओरेकल को 30 सुरक्षा मुद्दों की सूचना दी," एडम गौडियाक, सुरक्षा एक्सप्लोरेशंस के संस्थापक "। "यह लगभग उसी समय था जब फ्लैशबैक मैक ओएस ट्रोजन जंगली में पाया गया था। दोनों को ओरेकल के लिए जागृत कॉल के रूप में काम करना चाहिए था। "

कास्पर्स्की लैब ने बताया है कि पिछले साल किसी भी समय, तीन में से एक उपयोगकर्ता जावा का एक संस्करण चला रहा था जो कि पांच प्रमुख शोषणों में से एक के लिए कमजोर था हैकर्स। सर्वोच्च समय पर, 60 प्रतिशत से अधिक उपयोगकर्ताओं के पास एक कमजोर जावा संस्करण स्थापित था।

क्रोम, फ्लैश प्लेयर, एडोब रीडर और अन्य सॉफ़्टवेयर में मिले एक चुप, स्वचालित अपडेट तंत्र को उपभोक्ताओं के लिए सहायक हो सकता है, ईरम ने कहा। हालांकि, व्यवसाय शायद इस तरह की सुविधाओं को अक्षम कर देगा।

दिसंबर 7 में जारी जावा 7 अपडेट 10 से शुरू होने पर, ओरेकल ने जावा कंट्रोल पैनल में नए विकल्प प्रदान किए हैं जो उपयोगकर्ताओं को ब्राउज़र से जावा प्लगइन को अक्षम करने या जावा को मजबूर करने की अनुमति देता है जावा एप्लेट निष्पादित करने से पहले पुष्टिकरण के लिए पूछें। चूंकि जावा 7 अपडेट 11 के बाद से, इस तंत्र के लिए डिफ़ॉल्ट सेटिंग को उच्च पर सेट किया गया है, बिना हस्ताक्षर किए गए जावा एप्लेट को उपयोगकर्ता पुष्टिकरण के बिना स्वचालित रूप से चलने से रोकता है।

"मुझे विश्वास है कि जावा में नई सुरक्षा विशेषताएं क्वालिज़ के सीटीओ वुल्फगैंग कंडेक ने कहा, "ओरेकल सही दिशा में आगे बढ़ रहा है, जो भेद्यता प्रबंधन और नीति अनुपालन उत्पादों को बेचता है। जावा को और भी कॉन्फ़िगर करने योग्य बनाने से आईटी प्रशासकों को इस तरह से इसे अपने संगठनों की आवश्यकताओं को पूरा करने में मदद मिलेगी।

"मैं जावा में सफेद-सूची क्षमताओं का स्वागत करता हूं, यानी एप्पल तंत्र का उपयोग करने के लिए अनुमोदित साइटों पर सभी को प्रतिबंधित करता हूं, "कंदेक ने कहा। "साथ ही, जावा कॉन्फ़िगरेशन क्षमताओं के केंद्रीय प्रबंधन, यानी, विंडोज जीपीओ [समूह नीति] के माध्यम से, बेहतर किया जाना चाहिए।"

कंडेक का मानना ​​है कि ओरेकल को अन्य सॉफ्टवेयर कंपनियों की तुलना में हमलों के खिलाफ जावा को सख्त करने में एक बड़ी चुनौती का सामना करना पड़ता है अपने स्वयं के उत्पादों। "जावा एक पूर्ण प्रोग्रामिंग भाषा है और इसे निम्न स्तर के ऑपरेटिंग सिस्टम कार्यों सहित कार्यों के पूर्ण तालमेल को करने में सक्षम होना चाहिए।"

उसने कहा, ईरम और गौडियाक ने कहा कि ओरेकल को अपने जावा कोड की गुणवत्ता में सुधार करने की जरूरत है एक सुरक्षा परिप्रेक्ष्य से, क्योंकि अभी यह कमजोरियों को ढूंढना अपेक्षाकृत आसान है।

"सॉफ्टवेयर विक्रेताओं की एक निश्चित गुणवत्ता का सुरक्षित कोड प्रदान करने की ज़िम्मेदारी है, और फ्लैश प्लेयर या जावा जैसे व्यापक रूप से तैनात सॉफ्टवेयर के विक्रेताओं को कोई बहाना नहीं है," ईरम ने कहा। "एडोब ने इसे महसूस किया और अपने कोड को बेहतर बनाने के लिए एक गंभीर और सफल प्रयास किया है। माइक्रोसॉफ्ट ने कई साल पहले ऐसा किया था। गौरीक ने कहा कि ओरेकल के उन चरणों में पालन करने का समय है। "

संकेत हैं कि ओरेकल के डेवलपर्स जावा की सुरक्षा समस्या से अनजान हैं और कोड सुरक्षा समीक्षा पूरी तरह से पूरी नहीं हुई है या पर्याप्त व्यापक नहीं है। सुरक्षा एक्सप्लोरेशंस द्वारा पहचाने गए कई मुद्दों में जावा के लिए ओरेकल के अपने सुरक्षित कोडिंग दिशानिर्देशों का उल्लंघन किया गया है।

"हमें कई त्रुटियां मिलीं जो कि कंपनी द्वारा पहले प्लेटफॉर्म की व्यापक सुरक्षा समीक्षा के समय समाप्त होनी चाहिए रिलीज, "गौडियाक ने कहा।

ओरेकल ने मूल भेद्यता को कम करने और कोड की परिपक्वता बढ़ाने के लिए जावा के लिए ठोस सिक्योर डेवलपमेंट लाइफसाइक्ल को लागू करना चाहिए, ईरम ने कहा। एक एसडीएल एक सॉफ्टवेयर विकास प्रक्रिया है जो कमजोरियों को कम करने के लिए कोड सुरक्षा समीक्षाओं और सुरक्षित विकास प्रथाओं पर जोर देती है।

सर्वोत्तम दृष्टिकोण यह सुनिश्चित करना होगा कि डेवलपर्स आंतरिक प्रशिक्षण सत्र आयोजित करके सही तरीके से प्रशिक्षित हों, जैसा कि माइक्रोसॉफ्ट ने किया था, और मौजूदा कोड की समीक्षा करना ईरम ने कहा, बाहरी लेखा परीक्षकों की मदद से। "ओरेकल कुछ कुशल शोधकर्ताओं को भी अनुबंध कर सकता है जो उनके कोड को देख रहे हैं।"

ओरेकल ने कहा है कि यह जावा के लिए पैचिंग चक्र को 4 महीने से 2 महीने तक बढ़ा देगा और जावा सुरक्षा मुद्दों के बारे में बेहतर संवाद करने का वादा किया है उपभोक्ताओं, आईटी पेशेवरों, प्रेस और सुरक्षा शोधकर्ताओं समेत सभी ऑडियंस। जावा सुरक्षा अद्यतनों और ओरेकल की सुरक्षा पर संचार की कमी के बीच लंबे अंतराल की आलोचना की गई है।

"यह देखना दिलचस्प होगा कि क्या वे जनता के साथ बेहतर संवाद करने के अपने वादे का सम्मान करेंगे और प्रेस करेंगे। अतीत में, उन्होंने कहा - मेरी राय में - कमजोर अहंकारी और रिपोर्ट की कमजोरियों और यहां तक ​​कि उनकी वैधता पर टिप्पणी करने से इनकार कर दिया। "99

सुरक्षा मुद्दों पर टिप्पणी नहीं करने की नीति, जिसे ओरेकल ने कहा था उपयोगकर्ताओं ने परिणामस्वरूप उपयोगकर्ताओं को यह नहीं पता कि बाहरी रूप से सूचित खतरे वास्तविक थे या ओरेकल उनके बारे में क्या कर रहा था। "सुरक्षा और उत्तरदायित्व के लिए यह दृष्टिकोण पिछले सहस्राब्दी में आता है।"

सुरक्षा विशेषज्ञ ओरेकल से निकट भविष्य में सभी समस्याओं को हल करने की अपेक्षा नहीं करते हैं जो निर्धारित हमलावरों को रोक देगा।

"मुझे पता नहीं है ईरम ने कहा, जावा की सुरक्षा समस्याएं जल्द ही खत्म हो रही हैं। "यह माइक्रोसॉफ्ट और एडोब दोनों को नाव को बदलने के लिए थोड़ी देर ले गया, और उनके उत्पाद अभी भी शून्य-दिन [शोषण] के अधीन हैं। जावा ने हमलावरों की पेशकश करने के लिए बहुत कुछ किया है, इसलिए मैं उम्मीद करता हूं कि वे अब इसके लिए अपना ध्यान रखें। "

" मैं जल्द ही समाधान की उम्मीद नहीं करूंगा, "कंदेक ने कहा। "आईटी प्रशासकों को अपना समय समझने में निवेश करना चाहिए कि उन्हें डेस्कटॉप पर जावा की आवश्यकता है और जहां वे इसे प्रतिबंधित कर सकते हैं।"

सुरक्षा विशेषज्ञ सहमत हैं कि जावा को अक्षम किया जाना चाहिए जहां कम से कम ब्राउज़र स्तर पर जावा की आवश्यकता नहीं है। कई उपयोगकर्ता यह भी नहीं जानते कि उनके कंप्यूटर पर जावा स्थापित है। यही कारण है कि Google और मोज़िला ने क्रोम और फ़ायरफ़ॉक्स में जावा प्लगइन को प्रतिबंधित करना चुना है।

ऐप्पल ने मैक ओएस एक्स पर जावा प्लगइन के कमजोर संस्करणों को भी ब्लैकलिस्ट किया है, और विंडोज़ में एक रजिस्ट्री सेटिंग है जो जावा उपयोग को सीमित कर सकती है इंटरनेट एक्सप्लोरर विश्वसनीय वेबसाइटों पर।

जबकि कई घर उपयोगकर्ताओं को अपने ब्राउज़र में जावा की आवश्यकता नहीं है, दुनिया के कुछ हिस्सों में लोग शायद। डेनमार्क में, उदाहरण के लिए, ऑनलाइन बैंकिंग और सरकारी वेबसाइटें नेमआईड नामक लॉग-इन तंत्र का उपयोग करती हैं जिसके लिए जावा समर्थन की आवश्यकता होती है, ईरम ने कहा। इसी तरह के मामले अन्य देशों में मौजूद हो सकते हैं।

उन मामलों में, क्रोम और फ़ायरफ़ॉक्स में क्लिक-टू-प्ले सुविधा का उपयोग करके, या IE में जोन्स तंत्र का उपयोग, जावा सामग्री को केवल कुछ वेबसाइटों से लोड करने के लिए उपयोग किया जा सकता है। सामान्य कार्यों के लिए जावा अक्षम किए गए एक ब्राउज़र का उपयोग करने के लिए एक कम तकनीकी समाधान होगा, और जावा समर्थन वाले विश्वसनीय वेबसाइटों के लिए जावा के साथ एक अलग ब्राउज़र सक्षम होगा।

कॉर्पोरेट वातावरण में जावा के उपयोग को प्रतिबंधित करना अधिक कठिन है। कई कंपनियां आंतरिक और बाहरी वेब-आधारित अनुप्रयोगों का उपयोग करती हैं जिन्हें चलाने के लिए जावा ब्राउज़र प्लगइन की आवश्यकता होती है। कोंडेक ने कहा कि क्लिक-टू-प्ले कॉरपोरेट वातावरण के लिए उपयुक्त नहीं है, जहां नीतियों को केंद्रीय रूप से प्रबंधित और लागू किया जाना चाहिए।

"जावा को अधिक विन्यास योग्य बनाना आईटी प्रशासकों को संगठन की आवश्यकताओं के लिए सही तरीके से जावा को तैनात करने में मदद करेगा।" "ब्राउज़र से उच्च डिफ़ॉल्ट सुरक्षा स्तर और आसान डिस्कनेक्ट एक अच्छी शुरुआत है, लेकिन मेरा मानना ​​है कि हमें ब्राउज़रों या जावा प्लगइन्स की सफेद-सूची क्षमताओं में सुधार करने की आवश्यकता होगी।"

इस समय, IE में जोन तंत्र कॉर्पोरेट वातावरण में जावा प्लगइन के लिए सबसे स्केलेबल प्रबंधन क्षमताओं की पेशकश करता है, कंडेक ने कहा।

माइक्रोसॉफ्ट, फेसबुक, ऐप्पल और ट्विटर पर सुरक्षा उल्लंघनों के परिणामस्वरूप जावा-आधारित हमलों की हालिया लहर, जावा की क्षतिग्रस्त हो सकती है प्रतिष्ठा, ईरम ने कहा। लेकिन अगर व्यवसायों को जावा में आत्मविश्वास और सुरक्षित होने पर विश्वास था, तो उन्होंने कहा, "वे थोड़ी देर के लिए शोधकर्ताओं द्वारा प्रदान की गई अत्यधिक चेतावनियों पर ध्यान नहीं दे रहे हैं।" 99

यह न केवल जावा की प्रतिष्ठा है जो क्षतिग्रस्त हो सकती है। ऐसा लगता है कि कुछ कंपनियां पूछ रही हैं कि जावा की खराब सुरक्षा अन्य ओरेकल उत्पादों में दिखाई देती है या नहीं।

ईरम उम्मीद करता है कि हालिया हमलों से कंपनियां फिर से मूल्यांकन कर सकती हैं कि उन्हें अपने वातावरण में जावा की आवश्यकता है या नहीं।

"सामान्य रूप से कंपनियां कंडेक ने कहा, शुद्ध एचटीएमएल 5 आधारित अनुप्रयोगों में माइग्रेट कर रहे हैं और फ्लैश, सिल्वरलाइट और जावा जैसे प्लगइन से दूर जा रहे हैं। "जावा सर्वर की ओर बढ़ने के लिए जारी रहेगा, जहां इसकी शक्तिशाली प्रसंस्करण क्षमताओं की पूरी आवश्यकता है।"