Sicurezza

Oracle migliora la sicurezza di Java, ma c’è ancora da fare

I piani di Oracle per rafforzare la sicurezza di Java sono stati ben accolti dagli esperti di sicurezza che tuttavia vorrebbero che venisse fatto qualcosa di più per rendere più sicuro uno dei bersagli preferiti dagli hacker. Il "Java Report", pubblicato giovedì scorso, mette in evidenze le priorità che Oracle adotterà per la sua piattaforma applicativa.

Le modifiche in arrivo riguardano la verifica automatica della validità dei certificati di autenticità, il blocco dell'esecuzione automatica delle applet non firmate da un certificato e l'arrivo di una serie di opzioni di gestione centralizzata delle proprietà con la possibilità di definire whitelist di esecuzione per tutte le macchine controllate. 

Questa tazzina è stata la spina nel fianco di qualsiasi IT manager per anni e lo sarà ancora per un bel pezzo. Le cose, però, sembrano destinate a migliorare…

Le prossime modifiche, così come altre attività di sicurezza descritte venerdì nel Blog Oracle Software Security Assurance, sono stati classificate dagli esperti di sicurezza come miglioramenti necessari che sono però tutt'altro che definitivi. "La via che sta seguendo Oracle è fondamentale per curare i problemi di sicurezza di Java", ha detto Paul Henry, analista di sicurezza informatica in Lumension.  Non piace però la decisione di aggiornare Java regolarmente solo su base trimestrale, anche se la società ha dichiarato di voler fare delle eccezioni  e quindi rilasciare patch in brevissimo tempo qualora venissero scovate vulnerabilità altamente critiche di tipo "zero-day". Per dare un'idea delle dimensioni del problema, bisogna considerare che, solo quest'anno, Oracle ha già rilasciato ben 97 patch di aggiornamento. Per questo motivo, spiega Henry, un rilascio trimestrale lascia troppi rischi di infezioni demandando l'onere di trovare i giusti rimedi ai professionisti di sicurezza aziendale: "Visto il carico di patch rilasciate storicamente da Oracle, potrebbe essere meglio pensare a un aggiornamento mensile, come Microsoft ha fatto per anni".

HD Moore, direttore di ricerca per Rapid7, ha detto di ritenere i cambiamenti nella gestione delle applet come la notizia più importante dell’annuncio di Oracle. In passato, le applet "firmate" potevano essere eseguite al di fuori della sandbox Java, ma in futuro non sarà così. "Oracle sta cambiando questo modello in modo che la firma di un applet non le conferisca più privilegi 'di fuga' dalla sandbox", ha detto Moore. "Questa è una buona cosa per la sicurezza". Tuttavia, Moore vorrebbe vedere altri miglioramenti relativi come l'adozione di tecnologie di sandbox più robuste, tipo quelle usate in Adobe Reader e Google Chrome perché "una applet maligna con una firma valida può ancora abusare delle falle di sicurezza in JRE (Java Runtime Environment) per sfuggire alla sandbox e compromettere il sistema", ha detto Moore.

Andrew Storms, direttore delle operazioni IT e di sicurezza per Tripwire, ha detto che il cambiamento che più gli piace è quello di dividere la distribuzione di Java in due versioni, una per il computer client e il browser e l'altra per il server, in cui le aziende gestiscono le loro applicazioni di business basate su Java.
"È una mossa intelligente differenziare le due parti di Java, perché finora gli utenti hanno sempre fatto molta confusione tra le funzioni delle due versioni" ha detto Storms.

Oracle, che ha preso il controllo di Java con l'acquisto di Sun Microsystems nel 2010, è stata aspramente criticata in passato per la lentezza con cui rilasciava le patch per risolvere gli exploit Java. Addirittura, a gennaio il Dipartimento di Sicurezza Nazionale statunitense ha consigliato ai consumatori di disabilitare Java sul proprio PC. Anche se i problemi di sicurezza per lo più hanno coinvolto i plug-in Java dei browser, la cattiva pubblicità che si è attirata Oracle ha sollevato preoccupazione tra i clienti aziendali. Per questo motivo, dicono gli esperti, Oracle ha finalmente iniziato a mostrare progressi nella gestione della sicurezza in Java. Meglio tardi che mai…