創建Java安全框架 避免Java漏洞被利用
雖然蠕蟲病毒、Zeus僵尸網絡和極光行動是去年的頭條新聞,但是據Krebs On Security的Brian Krebs和微軟的Holly Stewart最近的報道,針對Java的襲擊數量一直在穩步上升。正如Stewart寫道,針對Java的攻擊和成功攻擊的數量快速增加,最近甚至超過了針對PDF和其他目標的攻擊。
在這篇文章,我們將談到為什么Java容易成為攻擊者的目標,以及企業應該如何創建Java安全框架,從而成功抵御基于Java的漏洞攻擊。
Java的現狀
Java運行時環境(Java Runtime Environment),也稱為JRE或就簡稱為Java,安裝在各種不同類型的設備上,包括大多數PC機、蘋果電腦和Linux臺式機,以及智能手機和其他嵌入式設備。在這些設備上,PDF閱讀器和Flash播放器同Java的普及水平相似,但Java本身比較特殊,因為它被設計成為可以一次編寫、到處運行的環境,包括你可能想不到的嵌入式系統。
Java既是一種編程語言,也是一種需要安裝從而支持Java程序運行的軟件,它還具有額外的保護(比如說,沙箱(sandboxes)和額外的內存保護),這是其他編程語言沒有的,然而最近的攻擊卻都繞開了這些保護。甲骨文公司憑借收購Sun微系統公司從而擁有了Java,雖然其頻繁發布Java更新以便控制漏洞,且Java本身也包括自動升級功能,但是這個功能并不是那么可靠,無法保證運行的是JRE最新版本。另外,蘋果公司也發布了自己的Java版本,其通常落后于安全修補過程,這就使得Java整體的安全問題更加嚴峻了。
因此,Java JRE對于攻擊者而言,是很有吸引力的目標。Stewart報告說,在過去一年中,三個Java的漏洞累計遭到350萬次攻擊,近200萬臺電腦受到攻擊,這使得Java成為最易受到攻擊的軟件之一。
Krebs報告說,針對Java的攻擊已經包含到了漏洞利用程序包中,從而允許攻擊者可以對該編程語言的攻擊進行自動化。另外,使用PC機的企業不是唯一應該擔心的,最近針對Java的攻擊有些甚至包括了Mac電腦。從事Mac安全的Intego公司最近報道稱,一個惡意的Java applet超鏈接
http://blog.intego.com/2010/10/27/intego-security-memo-trojan-horse-osxkoobface-a-affects-mac-os-x-mac-koobface-variant-spreads-via-facebook-twitter-and-more/被命名為Koobface,其已經感染了蘋果的操作系統。由于缺少Java補丁,很多被感染的電腦已經被黑客控制,而最近針對Flash或PDF的襲擊,臺式電腦上防惡意軟件的安全措施已經不起作用了。不管怎樣,要想在網絡層上檢測Java的襲擊,對IPS/IDS提供商而言已經更加困難了,因為任何潛在的惡意Java程序都需要進行運行測試,以檢查惡意代碼,而這需要耗費大量的計算資源。
企業防御策略
企業可以通過創建一個Java的安全框架來減少與Java相關的風險。首先,企業應該預判自己是否需要在臺式機或者服務器上安裝Java,如果不需要的話,請卸載Java或者從一開始就不安裝Java。用戶應該只在有應用程序需要時,或臺式機需要Java程序支持的情況下,才安裝Java。這是基本的建議,因為如果Java不存在,它就不可能被黑客進行漏洞利用。
接下來,檢查以確保只有最新版本的Java安裝在客戶機上。這些檢測可以用企業管理軟件、腳本版本檢測、或手動訪問Java下載頁面來完成,這將報告已安裝的Java是哪一版本。以我的經驗來看,老版本經常遺留在系統中以保證向后的兼容性,特別是自己編寫的應用程序。如果安裝了Java,它可以配置成每天自動檢查更新,但是這只對用戶可以自己更新軟件的家庭電腦有用。企業應該把對Java打補丁的優先級同微軟或Adobe保持一致。對Java的一些特定安全選項進行調查也是可取的,用戶通過使用Java控制面板就可以進行,比如禁止用戶給來自不受信任的認證授予訪問權限,或檢查證書以防止潛在的惡意Java程序的運行。你可能還需要啟動日志記錄,以便發現惡意Java程序是否已經運行。如果你的企業使用Firefox,還可以利用NoScript插件的白名單功能來批準Java程序,以限制惡意Java程序的風險。
結論
過時的Java版本所構成的威脅不容低估,Java補丁應該與微軟或Adobe更新擁有同樣的優先權。甲骨文負責Java的更新,如同微軟對其產品負責一樣,甲骨文應該有同樣的標準。所以,如果有可能,你可以向甲骨文公司報告因惡意軟件襲擊Java而引起的任何問題。
企業應該在其客戶端系統中增加更新Java的優化措施,以防止系統被黑客利用漏洞。他們也應該以此作為警鐘,更仔細地評估什么軟件應該安裝在客戶端電腦上,并確保定期更新,防止黑客憑借應用軟件來控制系統。雖然這可能還有一場硬仗要打,但這也相應的推動了企業去更好的理解安全,即除了打補丁以外還可以有更多的具有前瞻性的辦法,比如使用應用程序白名單功能,從而在第一時間防止惡意軟件的運行。
【編輯推薦】
