Kritické bezpečnostní chyby v Javě slouží útočníkům již dobré 4 měsíce

pátek 31. srpna 2012 08:58
Experti doporučují kompletně zakázat Javu! Dobře míněná rada, ale co mají dělat uživatelé, kteří Javu využívají pro své kriticky důležité business aplikace?

 

Experti doporučují vypnout Javu!

Kritické bezpečnostní chyby v Javě ponechával výrobce Oracle více než čtyři měsíce bez adekvátní reakce. Není divu, že se tak v posledních dnech staly široce používanou pomůcku útočníků, kteří jejich prostřednictvím získávají kontrolu nad napadenými počítači. O vážnosti chyby svědčí například i varování Mozilly, ve kterém uživatelům doporučuje kompletně zakázat Javu ve svém prohlížeči. Čtyři měsíce stará bezpečnostní chyba je dnes součástí známé pomůcky Blackhole, kterou s oblibou využívají právě hackeři. Ta zkouší všechna známá zneužití, dokud nenarazí na takové, které spolehlivě zafunguje na konkrétním počítači. Alarmující je také fakt, že se dnes tento útočný kód nachází na desítkách či stovkách webových stránek. Útočníkům k tomu stačilo několik málo dní od chvíle, kdy tyto chyby pronikly na veřejnost. Stačí si jen infikovanou stránku načíst a mít při tom zapnutou Javu v prohlížeči. Výsledkem může být fatální problém, kdy útočník na takto napadeném počítači spustí libovolný kód.

Záplata od Oracle přišla až po čtyřech měsících

Společnost Oracle si vysloužila od bezpečnostních firem a posléze i od médií ostrou kritiku za laxní přístup k celému odhalenému problému. Zjevně pod vlnou kritiky byl výrobce donucen konečně reagovat a uvolnil neplánovanou opravu pro (Java 7) i pro starší verze (Java 6). Neplánovanou proto, že plánovaný termín byl původně očekáván až v polovině října tohoto roku v rámci pravidelné údržby. „Oracle pravděpodobně chybu opraví v říjnu při plánované údržbě, to dává škůdcům spoustu času k profitu, pokud je mezitím nezablokujeme,“ konstatoval Daniel Veditz, bezpečnostní technik Firefoxu. Podle prvních reakcí se Oracle sice podařilo zásadní chyby napravit a stávající zranitelnost tak již není použitelná, ale mohou zde být i další cesty, jak spustit ten samý kód.

Očima bezpečnostního manažera

Podívejme se na celou kauzu očima bezpečnostního manažera, který musí na vzniklou krizovou situaci odpovědně reagovat. Současný medializovaný příběh Java klade nad rámec liknavého přístupu Oracle ještě jiné zásadní otázky: „Jsme v naší firmě, organizaci připraveni na tyto a jim podobné incidenty? Disponujeme alespoň dočasným řešením, kterým rychle a flexibilně dokážeme zareagovat. Můžeme použít bezpečnostní nástroje, kterými překleneme krizové období? Nebo jsme plně závislí na reakci výrobce, až se vzpamatuje a chyby opraví?“ Nelze se spokojit, jako v tomto konkrétním případě, s dobře míněnou radou: kompletně zakázat a vypnout Javu! Zvlášť v případě, kdy Java patří mezi veřejně nejrozšířenější platformy a je mnohdy využívaná pro běh strategických business aplikací, jako jsou např. internetové bankovnictví, webové stránky obchodních dodavatelů či komunikace se státními úřady. Odpověď se nabízí sama: Bez flexibilního řešení, které v průběhu krizové etapy eliminuje bezpečnostní hrozby, zůstaneme vystaveni jen pasivnímu čekání na reakci výrobce. Takové čekání, jak se ukázalo v případě Javy a Oracle, může trvat až několik měsíců.

S Kernunem bezpečně na druhý břeh

V případě bezpečnostních řešení Kernun neplatí striktní rada a extrémní postup: Zakázat a kompletně vypnout Javu! Odpadá i zdlouhavé vypínání Javy či vynucování omezených pravidel na konečných stanicích. Kernun disponuje technologií, která rozpoznává jednotlivé Java applety a dokáže je blokovat. Díky tvorbě specifických pravidel je možné operativně a flexibilně povolit jen důvěryhodné a obchodně strategické aplikace (např. již zmíněné internetové bankovnictví, dodavatelské portály či komunikaci se státní správou). Naopak všechny ostatní Java applety zablokovat a zamezit tak případným pokusům o napadení z infikovaných webových stránek. Díky centrální správě Kernun lze nastavení provést z jednoho místa a nastavit veškerá pravidla centrálně pro celou podnikovou síť. Systémem flexibilního nastavení a vynucení pravidel pro Java applety disponují všechny typy bezpečnostních produktů Kernun, ať se jedná o Kernun Firewall+, Kernun UTM či webový filtr Kernun Clear Web.

Krizové scénáře mohou být příště jistě jiné, ale vždy bude platit základní pravidlo bezpečnosti: Je dobré mít v rukou takový nástroj, který v případě incidentu umožňuje okamžitou obranu, při zachování strategických systémů v provozu.

Kam dál?

Novinky IT bezpečnosti
Publikovanbé články
Aktuální hrozby internetu

Detailní přehled o produktech Kernun

Kernun Clear Web
Kernun Firewall+
Kernun UTM
Produktové listy Kernun (PDF)
Case Study Kernun (PDF)