연구원 : 자바의 보안 문제가 곧 해결되지 않을 것임

해마다 해커들은 Java의 취약점을 악용하고 있습니다 마이크로 소프트, 애플, 페이스 북과 트위터뿐만 아니라 가정 사용자들에 대한 일련의 공격을 수행한다. 오라클은 위협에보다 신속하게 대응하고 Java 소프트웨어를 강화하기 위해 노력했지만 보안 전문가들은 이번 공격이 곧 중단 될 가능성이 거의 없다고 말했습니다.

이번 주 보안 연구원은 최근 밝혀진 MiniDuke의 해커 cyberespionage 캠페인은 Java 및 Internet Explorer 8에 대한 웹 기반 악용과 Adobe Reader 익스플로잇을 사용하여 목표를 손상 시켰습니다. 지난 달 MiniDuke 맬웨어는 정부 기관, 연구소, 싱크 탱크 및 23 개국의 민간 기업에 속한 59 대의 컴퓨터를 감염 시켰습니다.

MiniDuke에서 사용하는 Java 악용은 당시에 Oracle에 의해 패치되지 않은 취약점을 대상으로했습니다 카스퍼 스키 랩 (Kaspersky Lab)은 블로그 게시물에서이 공격을 지적했습니다. 패치가 공개되기 전에 공개되거나 악용 된 취약점을 제로 데이 취약점이라고하며, 그 중 일부는 올해 자바 공격에 사용되었습니다.

[추가 정보: Windows PC에서 악성 코드 제거 방법] 2 월, 마이크로 소프트, 애플, 페이스 북, 트위터의 소프트웨어 엔지니어들이 자바 제로 데이 악용으로 조작 된 iOS 개발자 커뮤니티 웹 사이트를 방문한 후 맬웨어에 감염된 랩톱 컴퓨터를 가지고있었습니다. The Security Ledger는 다른 업계의 정부 기관 및 회사에도 영향을 미친 여러 웹 사이트에서 발생한 더 큰 "급수 공 (watering hole)"공격으로 인해 침해가 발생했다고 오디클은 전했다.

오라클은 올해의 시작과 예정된 패치 릴리스 가속화. 또한 자바 애플릿 보안 컨트롤의 기본 설정을 높여 사용자 확인없이 웹 기반 자바 애플리케이션이 브라우저 내부에서 실행되는 것을 막아주고있다.

보안 전문가는 이것이 좋은 출발이라고 생각하지만, 업데이트 채택률 및 기업 환경의 Java 보안 컨트롤 관리 개선 더 중요한 것은 오라클은 Java 코드를 철저히 검토하여 기본적인 보안 문제를 확인하고 수정해야한다고 말합니다. 오라클이 지난 수년간 보안 업계의 경고를 듣는다면 Java가 더욱 안전해질 것이라고 믿고 있습니다.

"오라클 내부에서 오랫동안 어떤 일이 일어 났는지 말하기는 어렵지만 외부 인상에 기반합니다 그들은 더 빨리 대응할 수있었습니다. "라고 컨설팅 회사 인 Risk Based Security의 수석 연구 책임자 인 Carsten Eiram은 이메일을 통해 밝혔습니다. "오라클이 자바가 다음 주요 목표가 될 것이라는 예언을 진지하게 받아들이고 있는지 확신 할 수 없다."오라클이 최근의 공격을 막을 수는 없을 것이라고 그는 말했다. 그러나 오라클이 최근 공격을 막을 수는 없을 것이라고 그는 말했다. Java 보안의 현재 상태는 Java가 여전히 Java를 강하게 밀어 낸 사실에 기인한다고 생각합니다. "라고 글로벌 연구 책임자 인 Costin Raiu는 말했습니다. 카스퍼 스키 랩의 분석 팀과 이메일을 통해 공유 할 수 있습니다. 오라클은 2010 년에 썬 마이크로 시스템즈를 인수하면서 자바를 인수했다.이 소프트웨어는 자바 닷컴 (Java.com)의 정보에 따르면 전 세계 11 억 대의 데스크톱 컴퓨터에 설치되었다고한다. 광범위한 배포와 크로스 플랫폼 성격은 해커에게 매력적인 대상입니다. 폴란드어 취약성 조사 기관인 Security Explorations의 연구원은 지난 해 Oracle, IBM 및 Apple에서 유지 관리 한 Java 런타임에서 55 가지 취약점을 발견하여보고했으며 그 중 36 건이 Oracle 버전입니다.

"Security Explorations의 창립자 인 Adam Gowdiak은 2012 년 4 월에 Oracle에 Java SE 7에 영향을 미치는 30 가지 보안 문제를 Oracle에보고했습니다. "Flashback Mac OS 트로이가 야생에서 발견 된 바로 그 무렵이었습니다. 카스퍼스키랩 (Kaspersky Lab)은 작년 한 해 동안 3 명의 사용자 중 1 명이 자바의 5 가지 주요 익스플로잇 중 하나에 취약한 자바 버전을 돌리고 있다고 전했다. 해커. 피크 타임에 60 % 이상의 사용자가 취약한 Java 버전을 설치했습니다.

Chrome, Flash Player, Adobe Reader 및 기타 소프트웨어에있는 자동 업데이트 메커니즘을 자동으로 제공하면 소비자에게 도움이 될 수 있다고 Eiram은 말합니다. 그러나 오라클은 12 월 출시 된 자바 7 업데이트 10부터 사용자가 브라우저에서 자바 플러그인을 사용하지 못하도록하거나 자바를 강제로 사용할 수있는 새로운 옵션을 자바 제어판에 제공했다. Java 애플릿이 실행되기 전에 확인을 요청하십시오. Java 7 Update 11부터이 메커니즘의 기본 설정이 높음으로 설정되어 서명되지 않은 Java 애플릿이 사용자 확인없이 자동으로 실행되지 않도록합니다. "Java의 새로운 보안 기능 오라클이 올바른 방향으로 나아가고 있음을 보여줍니다. "라고 Qualys의 CTO 인 Wolfgang Kandek는 취약성 관리 및 정책 준수 제품을 판매하고 있다고 말했습니다. Java를 훨씬 더 구성 가능하게 만들면 IT 관리자가 조직의 요구 사항을 충족하는 방식으로 배포 할 수 있습니다. ""Java에서 화이트 리스팅 기능을 환영합니다. 즉 승인 된 사이트 이외에 애플릿 메커니즘을 사용하는 것을 금지합니다. "칸덱이 말했다. "동시에, Windows GPO [그룹 정책]를 통한 Java 구성 기능의 중앙 관리가 개선되어야합니다."Kandek는 Java가 다른 소프트웨어 회사보다 Java에 대한 공격을 막는 데 큰 어려움에 직면 해 있다고 생각합니다. 자신의 제품. "Java는 완벽한 프로그래밍 언어이며 저수준 운영 체제 작업을 포함한 모든 작업을 수행 할 수 있어야합니다."Eiram과 Gowdiak은 Java 코드의 품질을 향상시켜야한다고 밝혔습니다 소프트웨어 벤더는 특정 품질의 보안 코드를 제공 할 책임이 있으며 플래시 플레이어 나 자바와 같이 널리 배포 된 소프트웨어 벤더는 변명의 여지가 없다 "고 지적했다. 아이람은 말했다. "Adobe는 이러한 사실을 깨닫고 코드 개선을 위해 성실하고 성공적인 노력을 기울였습니다. 마이크로 소프트는 수년 전에도 그랬습니다. 오라클이 이러한 발자국을 따라갈 때입니다. "오라클의 개발자는 Java의 보안 함정을 인식하지 못하고 있으며 코드 보안 검토가 아직 완료되지 않았거나 충분히 포괄적이지 않다고 Gowdiak은 말했습니다. 보안 탐구로 확인 된 많은 문제는 오라클 자체의 Java 보안 코딩 지침을 위반한다고 그는 덧붙였습니다. "우리는 플랫폼에 대한 포괄적 인 보안 검토 시점에 회사가 제거해야 할 많은 결함을 발견했습니다. "오라클은 기본 취약성을 제거하고 코드의 성숙도를 높이기 위해 Java에 대한 견고한 보안 개발 라이프 사이클을 구현해야한다고 Eiram은 말했습니다. SDL은 코드 보안 검토를 강조하고 취약성을 줄이기 위해 개발 사례를 안전하게 보호하는 소프트웨어 개발 프로세스입니다.

가장 좋은 방법은 개발자가 Microsoft와 마찬가지로 내부 교육 세션을 보유하고 개발자가 적절한 코드를 숙지하도록하고 기존 코드를 검토하는 것입니다 Eiram은 외부 감사원의 도움으로 오라클은 Java의 패치주기를 4 개월에서 2 개월로 단축하고 Java 보안 문제에 대해 더 잘 의사 소통 할 것이라고 약속했습니다. 소비자, IT 전문가, 언론 및 보안 연구원을 포함한 모든 관객 Java 보안 업데이트와 오라클의 보안 통신에 대한 오랜 간격은 오랫동안 비판 받아 왔습니다.

"대중과 언론의 의사 소통에 대한 약속을 존중할 것인지를 보는 것이 흥미로울 것입니다. 과거에는 그들이 내 생각에 철저히 오만 해졌고보고 된 취약성에 대한 논평을 거부하고 심지어 그 타당성까지도 입증했습니다. "라고 Eiram은 말합니다. 오라클은 보안 문제에 대해 언급하지 않았지만 사용자들은 외부에서보고 된 위협이 실제로 있었는지 혹은 오라클이 그들에 대해 무엇을하고 있는지 알지 못하게되었습니다. "보안 및 대응성에 대한 이러한 접근 방식은 이전 천년에 속합니다."보안 전문가들은 오라클이 가까운 미래에 결정적인 공격자를 차단할 수있는 방법으로 모든 문제를 해결할 것이라고 기대하지 않습니다.

"나는 예측하지 않습니다. 자바의 보안 문제는 곧 끝날 것 "이라고 지적했다. "마이크로 소프트와 어도비가 보트를 돌리는 데 오래 동안 걸렸습니다. 그리고 그 제품은 여전히 ​​제로 데이 [exploit]의 대상이되고 있습니다. Java는 공격자를 제공 할 것이 많기 때문에 지금 당장은 공격자에게 초점을 맞추기를 기대합니다. "Kandek은"나는 곧 해결책을 기대하지 않을 것 "이라고 말했다. "IT 관리자는 데스크톱에서 Java가 필요한 위치와 제한 할 수있는 위치를 파악하는 데 시간을 투자해야합니다."보안 전문가는 적어도 브라우저 수준에서는 Java가 필요하지 않은 곳에서 사용할 수 없게해야한다고 동의합니다. 많은 사용자는 자신의 컴퓨터에 Java가 설치되어 있다는 것을 모릅니다. 라이언에 따르면, 구글과 모질라는 크롬과 파이어 폭스에서 자바 플러그인을 제한하기로 결정한 것 같다.

애플은 또한 맥 OS X에서 자바 플러그인의 취약한 버전을 블랙리스트에 올렸고 윈도우는 자바 사용을 제한 할 수있는 레지스트리 설정을 가지고있다. Internet Explorer를 신뢰할 수있는 웹 사이트로 전환합니다.

많은 가정 사용자가 브라우저에 Java가 필요하지는 않지만 일부 지역의 사람들이 사용할 수 있습니다. 예를 들어, 덴마크의 온라인 뱅킹 및 정부 웹 사이트에서는 Java 지원이 필요한 NemID라는 로그인 메커니즘을 사용한다고 Eiram은 말했습니다. 다른 경우에도 이와 비슷한 경우가있을 수 있습니다.

Chrome 및 Firefox의 클릭 재생 기능 또는 IE의 영역 메커니즘을 사용하면 특정 웹 사이트에서만 자바 콘텐츠를로드 할 수 있습니다. 덜 기술적 인 솔루션은 일반 작업을 위해 Java가 비활성화 된 하나의 브라우저와 Java 지원이 필요한 신뢰할 수있는 웹 사이트 용 Java가 사용되는 다른 브라우저를 사용하는 것입니다.

기업 환경에서 Java 사용을 제한하는 것이 더 어렵습니다. 많은 회사에서 Java 브라우저 플러그인을 실행해야하는 내부 및 외부 웹 기반 응용 프로그램을 사용합니다. 클릭 재생 (J-to-Play)과 같은 기능은 정책을 중앙 집중식으로 관리하고 시행해야하는 기업 환경에는 적합하지 않습니다. "Java를보다 자세히 구성 할 수있게되면 IT 관리자는 조직의 요구 사항에 맞게 Java를 배포 할 수 있습니다. "기본 보안 수준이 높아지고 브라우저와의 연결이 끊어지는 것이 좋은 출발이지만, 브라우저 나 자바 플러그인의 화이트리스트 기능을 향상시켜야 할 필요가 있다고 생각합니다."

현재 IE의 존 메커니즘 최근 기업 환경에서 자바 플러그인을위한 가장 확장 성있는 관리 기능을 제공한다고 Kandek이 말했다.

Microsoft, Facebook, Apple 및 Twitter에서 보안 침해를 초래 한 Java 기반 공격의 최근 물결은 Java 명성, Eiram 고 말했다. 그러나 기업들이 자바에 대한 안전성을 확신한다면 "잠깐 동안 연구원들이 제공하는 경고에주의를 기울이지 않았다"고 말했다.

자바의 명성이 손상되었을뿐만 아니라, 일부 기업들은 자바의 취약한 보안이 다른 오라클 제품에 반영되고 있는지를 묻는 중이다라고 Gowdiak은 말했다.

Eiram은 최근의 공격으로 기업들이 자바 환경이 필요한지 다시 평가하게 될 것이라고 기대했다.

순수 HTML5 기반 애플리케이션으로 이전하고 있으며 플래시, 실버 라이트, 자바와 같은 플러그인에서 벗어나고있다 "고 말했다. "Java는 강력한 처리 기능이 절대적으로 필요한 서버 측에서 계속 성장할 것입니다."