image

"Oracle schendt eigen regels met Java-lekken" (interview)

donderdag 24 mei 2012, 22:10 door Redactie, 3 reacties

De bekende Poolse beveiligingsonderzoeker Adam Gowdiak heeft in de nieuwste versie van Java die onlangs uitkwam tal van lekken gevonden waardoor aanvallers het onderliggende systeem kunnen overnemen, zo laat hij in een interview met Security.nl weten. Gowdiak sprak vandaag tijdens de Hack in the Box conferentie in Amsterdam over kwetsbaarheden in satelliettelevisie en digitale video.

Toch heeft hij al lange tijd een passie voor Java. Op de website van Gowdiak's bedrijf wordt hij ook als een ervaren 'Java Virtual Machine hacker' omschreven. "De veiligheid van Java heeft al tien jaar mijn persoonlijke interesse", aldus de Poolse hacker.

Verbazing
In 2002 rapporteerde hij al verschillende kwetsbaarheden aan Sun, dat toen nog eigenaar van Java was. In 2004 presenteerde Gowdiak onderzoek over een lek in de Java-technologie, waardoor zo'n 250 miljoen telefoons kwetsbaar waren. In april van dit jaar was het weer raak. Toen rapporteerde Gowdiak meer dan 20 problemen in het net verschenen Java 7.

"Ik was verbaasd over de problemen die we tegenkwamen. Ik weet niet of er bij Oracle een groot verloop van personeel is of dat mensen met bepaalde aanvalstechnieken niet bekend zijn." Een aantal van de aanvalstechnieken die Gowdiak in 2005 ontwikkelde werkten ook tegen Java 7 dat een paar maanden geleden uitkwam. "Deze problemen werden opnieuw in Java 7 geïntroduceerd."

"We hebben twaalf tot veertien manieren ontdekt om volledig uit de sandbox te breken", laat Gowdiak weten. "Dat was verrassend, we hadden het niet verwacht." Ook ontdekte de Poolse onderzoeker een manier om een computer over te nemen via de Java extensies voor Apple QuickTime.

Oracle
Vanwege alle beveiligingsproblemen met Java wordt de roep om de software niet meer te gebruiken steeds sterker. Zelf gebruikt Gowdiak sinds 2005 geen Java meer. "Het is een wapenwedloop, onderzoekers vinden problemen, het bedrijf probeert ze te patchen. Soms worden ook nieuwe aanvalstechnieken ontwikkeld."

In het geval van de meest recente lekken gaat het echter om technieken die tenminste bij sommige partijen bekend waren. Hoe het kan dat Oracle deze problemen miste kan Gowdiak niet verklaren, maar mogelijk heeft de overgang van Java van Sun naar Oracle er iets mee te maken merkt hij op.

Richtlijnen
Gowdiak en zijn team waren ook verrast omdat veel van de problemen de belangrijkste richtlijnen om veilig met Java te programmeren schenden. Het gaat om de richtlijnen die gewoon op de Oracle website zijn te vinden. "Het zijn er veel en we ontdekten dat ze er aardig wat overtreden. Het is geen goede reclame voor Oracle, maar we waren blij dat we ze konden vinden en rapporteren." Oracle zou wel goed op de meldingen hebben gereageerd. Inmiddels wordt er aan een oplossing voor de problemen gewerkt.

Voor de toekomst verwacht Gowdiak nog veel meer Java-aanvallen, mede omdat de technologie op zoveel apparaten wordt gebruikt. "Als je Java installeert zie je een venster dat zegt dat Java op 2 miljard apparaten is geïnstalleerd." Gowdiak grapt dat zelfs de Lunar rover op Java draait.

Publiek
Oracle zou de Java-code beter moeten controleren vindt Gowdiak. "Zodra ze een probleem aangemeld krijgen, zouden ze de gehele code op dat probleem of aanval moeten testen." Daarnaast zou er een training voor de Java-ontwikkelaars moeten komen. "En richt je ook op het publiek wat betreft de veiligheid en problemen van Java. Het hacken van Java wordt al jaren onder de pet gehouden, dat is niet goed. Als een aantal van de problemen een paar jaar terug waren gepubliceerd, hadden we ze nu niet in Java 7 gezien."

Reacties (3)
25-05-2012, 08:42 door Bitwiper
Door Redactie: Adam Gowdiak: "En richt je ook op het publiek wat betreft de veiligheid en problemen van Java. Het hacken van Java wordt al jaren onder de pet gehouden, dat is niet goed. Als een aantal van de problemen een paar jaar terug waren gepubliceerd, hadden we ze nu niet in Java 7 gezien."
Dat lijkt me in tegenspraak met:

In 2002 rapporteerde hij al verschillende kwetsbaarheden aan Sun, dat toen nog eigenaar van Java was.
[...]
"Deze problemen werden opnieuw in Java 7 geïntroduceerd."
M.a.w. softwareontwikkelaars leren kennelijk niet van in het verleden gemaakte fouten. De reden is simpel: ze stellen niet aansprakelijk te zijn, het kost ze dus nooit geld. Het is bizar dat de fabrikant van auto's waarvan het gaspedaal zou kunnen blijven hangen helemaal suf gesued wordt terwijl softwaremakers geen tijd en geld willen uitgeven aan veiliger software.

Aan de andere kant ligt de schuld ook bij ons, eindgebruikers. Ik denk dat er weinig mensen bereid zullen zijn te betalen voor Java, Adobe Flash/Reader etc. als deze producten wat veiliger zouden zijn. Goedkoop = duurkoop?

Neemt niet weg dat uiteindelijk securitybugs leiden tot een potentieel minder stabiel internet. Ik denk dat overheden de cyberwar moeten voeren tegen ontwikkelaars van onveilige software. Voer maar een soort NCAP (http://nl.wikipedia.org/wiki/EuroNCAP) test in voor software. Overheden en bedrijven die software gebruiken die niet aan minimumeisen voldoet, en zo gevoelige gegevens lekken, moet je stevig een (financiële) poot uitdraaien.

Edit 13:09 - "Overheden en grote bedrijven" is natuurlijk onzin, moet zijn "Overheden en bedrijven" -> gecorrigeerd.
25-05-2012, 12:12 door Anoniem
Door Bitwiper: Aan de andere kant ligt de schuld ook bij ons, eindgebruikers. Ik denk dat er weinig mensen bereid zullen zijn te betalen voor Java, Adobe Flash/Reader etc. als deze producten wat veiliger zouden zijn. Goedkoop = duurkoop?

Ook bij software waar je voor moet betalen, heeft beveiliging vaak geen hoge prioriteit. Het is vaak een marketing issue. Je kunt eenvoudig "veiliger" roepen en iedereen gelooft het. Als je "gebruiksvriendlijker" roept, dan moet je dat wel aantonen. Dat ziet iedere potentiele klant namelijk direct.

In dat opzicht is een standaard test op beveiliging wel slim. Iedereen ziet dat een auto meer sterren haalt als er betere remmen in zijn gezet. Terwijl niemand dat aan de buitenkant van de auto, of zelfs de remmen, kan zien.

Peter
25-05-2012, 17:09 door Anoniem
Misschien heb je er geen last van wanneer je openJDK gebruikt onder Linux.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.