© CIDimport

Waarom is Java zo gevaarlijk?

Geplaatst: 4 september 2012 - 12:14

Aangepast: 16 november 2022 - 09:22

Redactie ID.nl

Opnieuw is Java de gebeten hond na hackergroep AntiSec vanochtend [urlx=http://webwereld.nl/nieuws/111654/hackers--12-miljoen-apple-id-s-van-fbi-gestolen-.html]bekend maakte[/urlx] dat via een kraak van een FBI-laptop 12 miljoen identifiers van Apple-apparaten zouden zijn gestolen.

Na het rumoer van vorige week rond de nalatigheid van het patchen van twee lekken in de Java-client, ligt het product van Oracle opnieuw onder vuur maar nu in een geheel andere context. Door gebruik te maken van een bekend Java-lek – waarvoor in februari dit jaar overigens al een patch verscheen – werden 12.367.232 unieke identifiers (UDID’s) voor Apple apparaten via de laptop van een FBI-agent in een .csv-bestand naar hackers gedownload. In de gegevens staan onder andere pushgegevens van de apparaten, postcodes en telefoonnummers van Apple-gebruikers.

Op de sociale mediasite Pastebin werd vanochtend een bestand gepubliceerd wat volgens AntiSec een monster van 1 miljoen buitgemaakte UDID’s bevat. Tweakers.net meldt dat in het bestand de identifiers van zeker 10.000 Nederlandstalige gebruikers te vinden zijn; dit valt af te leiden uit apparaatnamen die bestaan uit het Nederlandse woord 'van'. Via deze site kun je controleren of jouw eigen UDID deel uitmaakt van het vrijgegeven gedeelte identifiers en of je dus door de FBI werd gevolgd. (Waarschuwing: hiermee geef je jouw UDID aan een derde partij. Voor de gevolgen hiervan zijn wij niet aansprakelijk.)

Pech met toenemende populariteit add-ons

Java werd door Oracle als onderdeel van de inboedel van Sun Microsystems in 2009 overgenomen en is volgens experts momenteel de zwakste schakel in de beveiligingsketen van zowel Macs als pc’s. Zij verwijten Oracle te laat met patches te komen en noodpatches uit te brengen die alsnog kwetsbaarheden bevatten. Toch is het niet terecht dat alleen Oracle de zwarte piet toegespeeld krijgt. De verzachtende omstandigheid is namelijk een feit dat browser plugins afgelopen tijd vaker doelwit zijn geworden van hackers.

Aangezien besturingssystemen en browsers steeds beter beveiligd worden, blijven voor malwareontwikkelaars nog twee opties open willen zij de systemen van consumenten en bedrijven binnendringen. Die opties zijn browser plugins of add-ons en de naïviteit van de gebruiker. Met name browser plugins zijn in trek bij hackers, omdat deze geautomatiseerde hacks mogelijk maken die goedkoop in een exploitkit op de zwarte markt kunnen worden aangeschaft. Naast Java vormen ook Adobe’s Flash en Reader geliefde prooien voor malwarefabrikanten.

Java is vergeleken met Flash en Reader relatief onveilig en dat heeft hoogstwaarschijnlijk te maken met de beperkte investeringen die leverancier Oracle in het product doet. Uit onderzoek van beveiliger Secunia blijkt dat bij de publicatie van securitymededelingen over zero-day lekken op de site van Oracle, slechts in drie van de vijf gevallen dezelfde dag een patch voorhanden is. En zelfs al is er een patch, dan nog zijn er veel bedrijven die geen haast maken met een update omdat ze eerst zeker willen weten dat de nieuwe versie van de Java-client compatibel is met hun IT-omgeving. Op de Mac is het de situatie nog nijpender, daar publiceert Apple de Java-updates, wat betekent dat deze in een nog later stadium beschikbaar komen en geïnstalleerd worden.

De ene versie patcht de andere niet

“In veel gevallen laat ook de in Java ingebouwde upgrademogelijkheid je in de steek”, zegt onderzoeker Darien Kindlund van anti-malwarefabrikant FireEye. “Zelfs nu 64-bits Windows 7 standaard is geworden, hebben add-ons als Flash en Java last van 32-bit/64-bit versnippering”, legt Kindlund uit. “Het installeren van een gepatchte 64-bit versie van Java betekent niet dat je volledig veilig bent als er ook nog een 32-bits versie van Java staat geïnstalleerd (of vice-versa).”

Omdat aan het gebruik van Oracle’s Java dus allerlei risico’s kleven, adviseren experts de software te verwijderen als deze niet gebruikt wordt. Ben je als bedrijf wel afhankelijk van Java, bijvoorbeeld omdat je het gebruikt voor Citrix applicaties als GoToMeeting, GoToWebinar of GoToMyPc, dan wordt geadviseerd het raamwerk in een virtuele machine te draaien zodat bij een eventuele inbraak de bestanden op het bedrijfsnetwerk en in het hoofdbesturingssysteem niet benaderd kunnen worden.

Deel dit artikel
Voeg toe aan favorieten