গবেষকরা: জাভা নিরাপত্তা সমস্যাগুলি শীঘ্রই সমাধান করা সম্ভব হবে না

বছরের শুরু থেকেই, হ্যাকাররা জাভাতে দুর্বলতা শোষণ করছে মাইক্রোসফ্ট, অ্যাপল, ফেসবুক এবং টুইটারসহ হোমস ব্যবহারকারীদের বিরুদ্ধে আক্রমণের একটি স্ট্রিং চালানো। ওরাকল হুমকি দ্রুততর করার এবং জাভা সফ্টওয়্যারকে শক্তিশালী করার জন্য একটি প্রচেষ্টা করেছে, কিন্তু নিরাপত্তা বিশেষজ্ঞরা বলছেন যে এই হুমকিগুলি শীঘ্রই যেকোন সময় ছেড়ে দিতে অসম্ভব।

শুধু এই সপ্তাহে, নিরাপত্তা গবেষকরা বলেছে সম্প্রতি আবিষ্কৃত MiniDuke সাইবারপ্রাইজেশন প্রচারাভিযান জাভা এবং ইন্টারনেট এক্সপ্লোরার 8 এর জন্য ওয়েব-ভিত্তিক নিবিড়তা ব্যবহার করে, তাদের লক্ষ্যগুলির সাথে আপোস করার জন্য অ্যাডোব রিডারের সাথে ব্যবহার করা হয়েছে। গত মাসে, মিনিডুক ম্যালওয়্যারটি সরকারি সংস্থা, গবেষণা প্রতিষ্ঠান, চিন্তাধারা এবং ব্যক্তিগত কোম্পানিগুলির 59 টি কম্পিউটারে ২3 টি দেশ থেকে আক্রান্ত হয়েছিল।

মিনিডুকি দ্বারা ব্যবহৃত জাভা ব্যাবহার একটি দুর্বলতা লক্ষ্য করে যে সময় ওরাল দ্বারা প্যাচ করা হয়নি হামলা, ক্যাসপারস্কি ল্যাব একটি ব্লগ পোস্টে বলেন। জাভা বিরুদ্ধে এই আক্রমণ এই বছরের জন্য ব্যবহার করা হয় যা বেশিরভাগ, শূন্য দিন দুর্বলতা হিসাবে প্রকাশ করা হয় মুক্তি / প্যাচ প্রকাশ করা হয় যে দুর্বলতা।

[আরও পঠন: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার অপসারণ কিভাবে]

ফেব্রুয়ারি মাসে, মাইক্রোসফ্ট, অ্যাপল, ফেসবুক এবং টুইটারের সফটওয়্যার ইঞ্জিনিয়াররা তাদের ডেভেলপারদের জাভা শূন্য দিন ব্যাবহার করার জন্য একটি সম্প্রদায়ের ওয়েবসাইট পরিদর্শন করার পর ম্যালওয়ারের সাথে আক্রান্ত তাদের ওয়ার্ক ল্যাপটপ ছিল। ভঙ্গ একটি বড় "জল গর্ত" একাধিক ওয়েবসাইট থেকে সরানো যে অন্যান্য সংস্থার সরকারী সংস্থা এবং কোম্পানি প্রভাবিত থেকে ফলাফল ছিল, নিরাপত্তা লেজার রিপোর্ট।

ওরাকল দুটি জরুরী নিরাপত্তা আপডেটের বছরের শুরু এবং একটি নির্ধারিত প্যাচ মুক্তির গতি। এটি জাভা অ্যাপলেটগুলির উচ্চতর নিরাপত্তা নিয়ন্ত্রণের ডিফল্ট সেটিং উত্থাপিত হয়েছে, ওয়েব-ভিত্তিক জাভা অ্যাপ্লিকেশনগুলি ব্যবহারকারীর নিশ্চয়তা ছাড়াই ব্রাউজারগুলির ভিতরে ব্রাউজ করা থেকে বিরত করা।

নিরাপত্তা বিশেষজ্ঞরা বলছেন এটি একটি ভাল শুরু কিন্তু আরো বাড়ানোর জন্য কাজ করা উচিত বলে মনে করি আপডেটের জন্য গ্রহণের হার এবং কর্পোরেট পরিবেশে জাভা নিরাপত্তা নিয়ন্ত্রণ পরিচালনার উন্নতি। আরো গুরুত্বপূর্ণ, তারা বলে, মৌলিক নিরাপত্তা বিষয়গুলি চিহ্নিত ও সংশোধন করার জন্য ওরাকলকে অবশ্যই জাভা কোড পর্যালোচনা করতে হবে। ওরাকল বিশ্বাস করে যে জাভা আজ আরও নিরাপদ হবে যদি ওরাকল বছর ধরে নিরাপত্তা শিল্পের সতর্কবাণী শুনেছিল।

"গত কয়েক বছর ধরে ওরাকলে অভ্যন্তরীণভাবে যা ঘটছে তা বলার মতো কঠিন, কিন্তু বাইরের ছাপের ভিত্তিতে আমি অনুভব করি তারা দ্রুত প্রতিক্রিয়া হতে পারে, "Carsten Eiram, পরামর্শদাতা ফার্ম ঝুঁকি ভিত্তিক নিরাপত্তা প্রধান রিসার্চ অফিসার, ইমেইল মাধ্যমে "আমি নিশ্চিত নই যে ওকেলে সত্যিই জাভা এর ভবিষ্যত্ লক্ষ্য করে গুরুতরভাবে পরবর্তী প্রধান লক্ষ্য হচ্ছে।"

এটা অসম্ভাব্য যে ওরাকল সাম্প্রতিক হামলা প্রতিরোধ করতে পারে, তিনি বলেন, কিন্তু এটি যদি আরও দ্রুততর হয় তবে এটি একটি ভাল অবস্থানে থাকবে তার কোড সুরক্ষিত এবং নিরাপত্তা আরো স্তর যোগ করুন।

"আমি মনে করি বর্তমান জাভা নিরাপত্তা রাষ্ট্র যে এটি খুব মালিকানাধীন জাভা জোরাজুড়ি জোরালো কারণ যে কারণে," কোস্টিন Raiu, গ্লোবাল গবেষণা পরিচালক বলেন এবং ক্যাসপারস্কি ল্যাব এ বিশ্লেষণ দল, ইমেল মাধ্যমে "ওরাকল ক্লায়েন্ট জাভার পরে, সম্ভবত এই প্রকল্পে খুব সামান্য আগ্রহ দেখা যায়।"

ওরাকল জাভাতে ২010 সালে সান মাইক্রোসিস্টেম কিনেছিল। জাভা ডটকমের তথ্য অনুযায়ী, এটি 1.1 বিলিয়ন ডেস্কটপ কম্পিউটারে বিশ্বব্যাপী ইনস্টল করা হয়েছে। এর বিস্তৃত স্থাপনার এবং ক্রস প্ল্যাটফর্ম প্রকৃতি এটি হ্যাকারদের জন্য একটি আকর্ষণীয় লক্ষ্য তৈরি করে। ওরাকল, আইবিএম ও অ্যাপল কর্তৃক পরিচালিত জাভা রানটাইমে 55 টি ঝুঁকিপূর্ণ নিরাপত্তা বিষয়ক অনুসন্ধানকারীরা গত 36 বছরে ওরাকলের সংস্করণে 36 টি অনুসন্ধানকারীর সন্ধান পেয়েছে।

"২01২ সালের এপ্রিল মাসে, আমরা জ্যাক সা 7-তে প্রভাবিত ওরালকে 30 টি নিরাপত্তার বিষয়ে রিপোর্ট করেছি," অ্যাডাম গাউদিক, সিকিউরিটি এক্সপ্লোরেশনস "প্রতিষ্ঠাতা, ই-মেইলের মাধ্যমে বলেছেন। "এটি প্রায় একই সময়ে ফ্ল্যাশব্যাক ম্যাক ওএস টিজান বন্য অবস্থায় পাওয়া যায় উভয়কেই ওরাকলের জন্য জেগে ওঠা কল হিসাবে কাজ করতে হবে। "

ক্যাস্পারস্কি ল্যাব রিপোর্ট করেছে যে গত বছরের যে কোনও সময়ে, তিনটি ব্যবহারকারী এক জাভা সংস্করণ চালাচ্ছে যা পাঁচটি প্রধান কাজে ব্যবহৃত হ'ল হ্যাকার। চূড়ান্ত সময়ে, 60 শতাংশের বেশি ব্যবহারকারীর মধ্যে ভারসাম্যপূর্ণ জাভা সংস্করণ ইনস্টল ছিল।

ক্রোম, ফ্ল্যাশ প্লেয়ার, অ্যাডোব রিডার এবং অন্যান্য সফ্টওয়্যার পাওয়া যায় এমন নীরব, স্বয়ংক্রিয় আপডেট প্রক্রিয়া সরবরাহকারী গ্রাহকদের জন্য সহায়ক হতে পারে, ইরাম বলেছে। যাইহোক, ব্যবসার সম্ভবত এই ধরনের বৈশিষ্ট্য অক্ষম করবে, তিনি বলেন।

ডিসেম্বর 7 এ মুক্তি পাওয়া জাভা 7 আপডেট 10 এর মাধ্যমে, ওরাকল দ্বারা জাভা কন্ট্রোল প্যানেলে নতুন বিকল্প সরবরাহ করা হয়েছে যা ব্যবহারকারীদের ব্রাউজার থেকে জাভা প্লাগইন নিষ্ক্রিয় করতে বা জাভা জোর করতে দেয় জাভা অ্যাড্লেট এক্সিকিউটের আগে নিশ্চিত করার জন্য জিজ্ঞাসা করুন। জাভা 7 আপডেট 11 এর পরে, এই প্রক্রিয়াটির জন্য ডিফল্ট সেটিং উচ্চতর করা হয়েছে, অজ্ঞাত জাভা অ্যাপ্লেটগুলি ব্যবহারকারীর কনফার্মেশন ছাড়াই স্বয়ংক্রিয়ভাবে চলতে প্রতিরোধ করে।

"আমি জাভাতে নতুন নিরাপত্তা বৈশিষ্ট্যগুলি বিশ্বাস করি দেখান যে ওরাকল সঠিক পথে চলে যাচ্ছে, "কুলুইসের সিটিও বললো উলফগ্যাং ক্যান্ডেক, যা দুর্বলতা ব্যবস্থাপনা এবং নীতিমালা পণ্য বিক্রি করে। জাভা আরও বেশি কনফিগারেবল তৈরি করে আই টি অ্যাডমিনিস্ট্রেটররা তাদের সংগঠনের প্রয়োজনীয়তা পূরণ করে এমনভাবে স্থাপন করতে সহায়তা করবে।

"আমি জাভাতে সাদা তালিকা দক্ষতা স্বাগত জানাই, অর্থাৎ এ্যাপলেট পদ্ধতি ব্যবহার করার জন্য সবগুলি অনুমোদিত সাইট নিষিদ্ধ করা, "ক্যান্ডেক বললেন। "একই সময়ে, জাভা কনফিগারেশন দক্ষতার কেন্দ্রীয় ব্যবস্থাপনা, অর্থাৎ, উইন্ডোজ GPO [গ্রুপ নীতি] এর মাধ্যমে, উন্নত হওয়া উচিত"।

ক্যান্ডেক বিশ্বাস করেন যে ওরাকলের বিরুদ্ধে অন্যান্য সফটওয়্যার কোম্পানীর চেয়ে জাভা জোরদার একটি বড় চ্যালেঞ্জ রয়েছে তাদের নিজস্ব পণ্য। "জাভা একটি সম্পূর্ণ প্রোগ্রামিং ল্যাঙ্গুয়েজ এবং নিম্ন স্তরের অপারেটিং সিস্টেম কাজগুলি সহ কর্মের পূর্ণ প্রয়াস সঞ্চালন করতে সক্ষম হওয়া প্রয়োজন।"

ইরাম এবং গৌডিক উভয়ই বলেছিলেন, ওরাকলকে তার জাভা কোডের মান উন্নত করতে হবে একটি নিরাপত্তার দৃষ্টিকোণ থেকে, কারণ এখনই এটি দুর্বলতার খোঁজে অপেক্ষাকৃত সহজ।

"সফ্টওয়্যার বিক্রেতাদের একটি নির্দিষ্ট মানের সুরক্ষিত কোড প্রদানের দায়িত্ব রয়েছে এবং ফ্ল্যাশ প্লেয়ার অথবা জাভা মত ব্যাপকভাবে নিযুক্ত সফ্টওয়্যারের বিক্রেতাদের কোনও অজুহাত নেই"। ইরাম বলল। "অ্যাডোব বুঝতে পেরেছে এবং তাদের কোড উন্নত করার জন্য একটি গুরুতর এবং সফল প্রচেষ্টা করেছে। মাইক্রোসফ্ট অনেক বছর আগে একই করেনি। ওরাকলের সেই পদাঙ্ক অনুসরণ করার সময় এসেছে। "

ইরাকলের ডেভেলপাররা জাভা নিরাপত্তা দুর্ঘটনার ব্যাপারে অবহেলা করেন এবং সেই কোড সিকিউরিটি রিভিউগুলি যথেষ্ট হয় না বা পর্যাপ্ত না হয়, Gowdiak বলেন। সিকিউরিটি এক্সপ্লোরেশন দ্বারা সনাক্ত করা অনেকগুলি বিষয় জাভার জন্য ওরাকলের নিজের নিরাপদ কোডিং নির্দেশিকা লঙ্ঘন করে। তিনি বলেন।

"আমরা অনেকগুলি ত্রুটি খুঁজে পেয়েছি যা কোম্পানীর দ্বারা প্ল্যাটফর্মের পূর্বে একটি ব্যাপক নিরাপত্তা পর্যালোচনা করার সময় নির্মূল করা উচিত ছিল মুক্তি, "Gowdiak বলেন।

ওরাকল একটি শক্তিশালী নিরাপদ উন্নয়ন জীবনচক্র বাস্তবায়ন করা উচিত জাভা জন্য মৌলিক দুর্বলতা আউট এবং কোড এর মেয়াদ বৃদ্ধি, ইরাম বলেন। একটি এসডিএল একটি সফটওয়্যার ডেভেলপমেন্ট প্রসেস যা কোড নিরাপত্তা রিভিউ এবং দুর্বলতা কমাতে নিরাপদ ডেভেলপমেন্ট প্রথাগুলির উপর জোর দেয়।

মাইক্রোসফটের মতই ডেভেলপারদের প্রশিক্ষণের মাধ্যমে সঠিক প্রশিক্ষণের ব্যবস্থা করা উচিত এবং বিদ্যমান কোডটি পর্যালোচনা করতে হবে বাহ্যিক অডিটরদের সহায়তায়, ইরাম বলেন। "ওরাকল হয়তো এমন কিছু দক্ষ গবেষকদের সাথে চুক্তিবদ্ধ হতে পারে যারা তাদের কোডটি যে কোনও জায়গায় দেখছেন।"

ওরাকল জানিয়েছে যে এটি জাভা প্যাচিং সাইকেলকে 4 মাস থেকে ২ মাস পর্যন্ত বাড়িয়ে দেবে এবং জাভা নিরাপত্তা বিষয়গুলির সাথে ভাল যোগাযোগের প্রতিশ্রুতি দেবে সব শ্রোতাদের, ভোক্তাদের সহ, আইটি পেশাদার, প্রেস এবং নিরাপত্তা গবেষকরা। জাভা সিকিউরিটি আপডেট এবং ওরেলেলের নিরাপত্তা সংক্রান্ত যোগাযোগের অভাবের দীর্ঘ সময়কালের সমালোচনা করা হয়েছে।

"এটি দেখতে আকর্ষণীয় হবে যদি তারা জনগণের সাথে যোগাযোগের প্রতিশ্রুতি এবং তাদের সাথে যোগাযোগের প্রতিশ্রুতিটি মেনে নেবে। অতীতে তারা আমার মত - নিখুঁত অহংকারী এবং রিপোর্ট দুর্বলতা মন্তব্য করতে অস্বীকার করে, এমনকি তাদের বৈধতা, "ইরাম বলেন।

নিরাপত্তা সমস্যা, যা ওরেলে বলেন রক্ষা করার প্রয়োজন ছিল না নীতি রক্ষা করার প্রয়োজন ছিল ব্যবহারকারীরা, ব্যবহারকারীদের কাছে জানতে চাওয়া হয় না যে বাহ্যিকভাবে রিপোর্ট করা হুমকি প্রকৃত ছিল কি না বা ওরাকল তাদের সম্পর্কে কী করছে, তিনি বলেন। "নিরাপত্তা এবং প্রতিক্রিয়া এই পদ্ধতিটি পূর্ববর্তী সহস্রাব্দে রয়েছে।"

নিরাপত্তা বিশেষজ্ঞেরা আশা করেন না যে ওরাকলকে ভবিষ্যতের সমস্ত সমস্যার সমাধান করতে হবে যেগুলি আক্রমণাত্মক হামলার শিকার হবে।

"আমি অনুমান করি না জাভা নিরাপত্তা সমস্যা শীঘ্রই যে কোনও সময় শেষ, "ইরাম বলেন। "এটি মাইক্রোসফট এবং অ্যাডোব উভয়ই সময় ধরে নৌকাটি ঘুরিয়ে নেয়, এবং তাদের পণ্য এখনও শূন্য দিন [শোষণগুলির] অধীন এখন এবং তারপর। জাভা আক্রমণকারীদের প্রস্তাব অনেক আছে, তাই আমি তাদের জন্য এখন এটি তাদের ফোকাস রাখা আশা করি। "

" আমি সমাধান শীঘ্রই কোন আশা আশা করবে না, "ক্যান্ডেক বলেন। "আইটি অ্যাডমিনিস্ট্রেটরদের ডেটাবেজে জাভা প্রয়োজন যেখানে তাদের সময় বিনিয়োগ করা উচিত এবং যেখানে তারা এটি সীমাবদ্ধ করতে পারেন।"

নিরাপত্তা বিশেষজ্ঞরা সম্মত হন যে জাভা অক্ষম করা উচিত যেখানে কমপক্ষে ব্রাউজার লেয়ারে এটি প্রয়োজন নেই। অনেক ব্যবহারকারী এমনকি তাদের কম্পিউটারে জাভা ইনস্টল করা আছে জানি না। সম্ভবত গুগল এবং মোজিলা ক্রোম এবং ফায়ারফক্সে জাভা প্লাগইনকে সীমাবদ্ধ করার জন্যই সম্ভবত বলেছিলেন।

অ্যাপল ম্যাক ওএস এক্সে জাভা প্লাগইনটির দুর্বল সংস্করণগুলিও কালো তালিকাভুক্ত করেছে এবং উইন্ডোজ একটি রেজিস্ট্রি সেটিং যা জাভা ব্যবহার সীমিত করতে পারে বিশ্বস্ত ওয়েবসাইটগুলির জন্য ইন্টারনেট এক্সপ্লোরার।

অনেক হোম ব্যবহারকারীদের ব্রাউজারে জাভা প্রয়োজন হয় না, তবে বিশ্বের কিছু অংশে মানুষ হয়ত ডেনমার্কে, উদাহরণস্বরূপ, অনলাইন ব্যাঙ্কিং এবং সরকারি ওয়েবসাইটগুলি NemID নামে একটি লগ-ইন প্রক্রিয়া ব্যবহার করে যা জাভা সমর্থন প্রয়োজন, ইরাম বলেন। অনুরূপ ক্ষেত্রে অন্যান্য দেশে বিদ্যমান হতে পারে।

সেই ক্ষেত্রে, ক্রোম ও ফায়ারফক্সে ক্লিক-টু-প্লে বৈশিষ্ট্য ব্যবহার করে, অথবা IE- তে জোনের ব্যবস্থা, শুধুমাত্র নির্দিষ্ট ওয়েবসাইট থেকে জাভা সামগ্রী লোড করতে ব্যবহার করা যেতে পারে। একটি কম প্রযুক্তিগত সমাধান সাধারণ কর্মের জন্য জাভা নিষ্ক্রিয় একটি ব্রাউজার ব্যবহার করতে হবে, এবং জাভা সাপোর্ট প্রয়োজন যে বিশ্বস্ত ওয়েবসাইটের জন্য জাভা সঙ্গে একটি পৃথক ব্রাউজার।

কর্পোরেট পরিবেশে জাভা ব্যবহার নিষিদ্ধ আরো কঠিন। অনেক কোম্পানি অভ্যন্তরীণ ও বহিরাগত ওয়েব-ভিত্তিক অ্যাপ্লিকেশনগুলি ব্যবহার করে যা জাভা ব্রাউজার প্লাগইন চালানোর প্রয়োজন। ক্লিক-টু-খেলের মতো বৈশিষ্ট্যগুলি কর্পোরেট পরিবেশের জন্য উপযুক্ত নয় যেখানে নীতিগুলি কেন্দ্রীয়ভাবে পরিচালিত এবং কার্যকর করা প্রয়োজন।

"জাভা আরো কনফিগার করার মাধ্যমে আইটি পরিচালকদের সংগঠনের প্রয়োজনীয়তার জন্য জাভাকে সঠিকভাবে প্রয়োগ করতে সহায়তা করবে", ক্যান্ডেক বলেন। "উচ্চ ডিফল্ট নিরাপত্তা স্তর এবং ব্রাউজার থেকে সহজ সংযোগ বিচ্ছিন্ন একটি ভাল শুরু, কিন্তু আমি বিশ্বাস করি আমরা ব্রাউজার বা জাভা প্লাগইনদের সাদা তালিকা ক্ষমতা উন্নত করতে হবে।"

মুহূর্তের জন্য, IE তে জোন প্রক্রিয়া কর্পোরেট পরিবেশে জাভা প্লাগইনটির জন্য সবচেয়ে মাপসই ব্যবস্থাপনা দক্ষতা প্রদান করে, ক্যান্ডেক বলেন।

জাভা ভিত্তিক হামলার সাম্প্রতিক তরঙ্গ, যার মধ্যে রয়েছে মাইক্রোসফ্ট, ফেসবুক, অ্যাপল এবং টুইটারের নিরাপত্তা ভঙ্গের ফলে, জাভা খ্যাতি, ইরাম বলেন। কিন্তু যদি ব্যবসাগুলি জাভাতে নিরাপদ এবং সুরক্ষিত বলে বিশ্বাস করে তবে "তারা কিছু সময়ের জন্য গবেষকদের দ্বারা প্রদত্ত প্রচুর সতর্কতা অবলম্বন করে নি।"

এটি শুধু জাভাের খ্যাতি নয় যা হয়তো ক্ষতিগ্রস্ত হয়েছে। এটা সম্ভবত কিছু কোম্পানি জাভা এর দরিদ্র নিরাপত্তা অন্যান্য ওরাকল পণ্য মধ্যে প্রতিফলিত হয় কিনা তা জিজ্ঞাসা করা হয়, গৌধাক বলেন।

ইরাম প্রত্যাশা সাম্প্রতিক আক্রমণ কোম্পানি তাদের পরিবেশে জাভা প্রয়োজন কিনা তা পুনরায় মূল্যায়ন করবে।

"সাধারণ কোম্পানি বিশুদ্ধ HTML5 ভিত্তিক অ্যাপ্লিকেশনগুলিতে স্থানান্তরিত হচ্ছে এবং প্লাগইন যেমন ফ্ল্যাশ, সিলভারલાઇટ এবং জাভা থেকে দূরে সরানো হচ্ছে, "ক্যান্ডেক বলেন। "জাভা সার্ভারের পাশে বাড়তে থাকবে, যেখানে তার শক্তিশালী প্রসেসিং ক্ষমতা একেবারে প্রয়োজন।"