Sicherheitsexperte Carsten Eilers über das Sicherheitsrisiko Java

Kommentar: "Schalten Sie Java im Browser aus!"

Sicherheitslücken in Java machen in den letzten Wochen und Monaten unrühmliche Schlagzeilen. Die jüngsten kritischen Lücken wurden gerade in einem außerordentlichen Java-Update von Oracle gestopft. Selbst Reuters meldet diesen Vorfall, angereichert aber mit der Negativ-News, dass weitere Sicherheitslücken immernoch vorhanden seien (für Morgen ist indes das nächste, planmäßig Java-Update angekündigt, in dem 86 Probleme behoben werden sollen).

In der Kritik steht Oracles Verfahren, den Sicherheitsproblemen zu begegnen, und die Java-Welt fragt sich, ob die Fahrt, die Java mit den Neuerungen etwa im Sprachkern und in der Enterprise Edition aufgenommen hat, nicht durch die Sicherheitshintertür empfindlich ausgebremst wird. Wir befragten Sicherheitsexperten Carsten Eilers zur aktuellen Situation.


src=“http://entwickler.com/develop/zonen/magazine/onlineartikel/pspic/picture_file/71/Eilers50f408c4ce4f6.jpg?1358170308″ hspace=“10″ vspace=“5″ alt=““>

JAXenter: Hallo Herr Eilers. Die Meldungen über Sicherheitsprobleme in Java häufen sich. Worum ging es bei den beiden Sicherheitslücken, die im jüngsten Update Java SE 7u11 geschlossen wurden. Und wie gravierend schätzen Sie diese ein?

Carsten Eilers: Die Schwachstellen erlauben das Ausführen beliebigen Codes, die Sicherheitseinstellungen des Java Security Managers werden unterlaufen. Das ist das Schlimmste, was bei einem Angriff passieren kann. Wenn jemand aus der Ferne beliebigen Code ausführen kann, kann er auf dem angegriffenen Rechner tun und lassen, was er will (immer im Rahmen der Rechte, mit denen der Code ausgeführt wird).

Dazu kommt noch, dass die Schwachstellen im Rahmen von Drive-by-Infektionen ausgenutzt wurden und der Besuch einer entsprechend präparierten Webseite ausreicht, um einen Rechner mit Schadsoftware zu verseuchen.

JAXenter: Die Java-Schwachstellen wurden ja in diverse Exploit Kits integriert. Welche Rolle spielen diese Hacker Kits eigentlich wirklich?

Carsten Eilers: Die meisten Angriffe erfolgen heutzutage über diese Exploit Kits. Die Kits enthalten alles, was ein Cyberkrimineller braucht, um eine Website für eine Drive-by-Infektion zu präparieren. Und die sind seit einiger Zeit der Haupt-Verbreitungsweg für Schadsoftware.

Gelangt ein Benutzer auf eine entsprechend präparierte Seite, wird versucht, über verschiedene Schwachstellen Schadcode auf seinen Rechner zu installieren. Zurzeit eben auch über die Schwachstellen in Java.

Es gibt viele Wege, eine Website für Drive-by-Infektionen zu präparieren: Ausgespähte FTP-Zugangsdaten, SQL-Injection, manipulierte Adserver, etc. Kaspersky hat vor allem in Großbritannien, Brasilien und Russland Werbeanzeigen auf harmlosen Websites gefunden, die den Exploit enthalten. Anscheinend hat da also ein Cyberkrimineller einen Adserver kompromittiert und die Werbung um Code für eine Drive-by-Infektion erweitert.

Das Unangenehme dabei: Egal wie sicher eine Website ist – verwendet sie so eine präparierte Werbung, verbreitet sie damit auch den Schadcode.

Generell kann so ein Angriff jede Website treffen, egal wie gut ihre Reputation ist. Soweit es um Drive-by-Infektionen geht, ist Microsofts Rat in den Security Bulletins, nur vertrauenswürdige Seiten zu besuchen, also ein schlechter Witz und längst überholt.

JAXenter: Sie beobachten die Security-Szene ja nun schon seit Jahren. Wie hat sich insbesondere Java hier entwickelt? Oder anders gefragt: Stimmt die Wahrnehmung, dass Java mehr als zuvor ins Visier von Hackern genommen wird?

Carsten Eilers: Bis vor ca. zwei Jahren waren Adobe Reader und Flash Player die beliebtesten
Ziele der Cyberkriminellen. Inzwischen hat Java ihnen diesen Rang streitig gemacht. Und das aus zwei Gründen:

Oracle braucht im Allgemeinen ewig, um Schwachstellen
zu patchen. Ausnahmen wie die aktuelle bestätigen bekanntlich nur die Regel. Und selbst wenn Oracle die Schwachstellen patcht, sind sie dadurch
ja noch lange nicht von den Rechnern der Benutzer verschwunden. Java wird viel zu selten aktualisiert. Und viele Benutzer wissen nicht mal, dass auf
ihrem Rechner Java installiert ist und dass sie es selbst updaten müssen.

Dadurch gibt es sehr viele angreifbare Rechner – genau das, was die Cyberkriminellen brauchen.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.