De bekende Poolse beveiligingsonderzoeker Adam Gowdiak heeft in de nieuwste versie van Java die onlangs uitkwam tal van lekken gevonden waardoor aanvallers het onderliggende systeem kunnen overnemen, zo laat hij in een interview met Security.nl weten. Gowdiak sprak vandaag tijdens de Hack in the Box conferentie in Amsterdam over kwetsbaarheden in satelliettelevisie en digitale video.

Toch heeft hij al lange tijd een passie voor Java. Op de website van Gowdiak's bedrijf wordt hij ook als een ervaren 'Java Virtual Machine hacker' omschreven. "De veiligheid van Java heeft al tien jaar mijn persoonlijke interesse", aldus de Poolse hacker.

Verbazing
In 2002 rapporteerde hij al verschillende kwetsbaarheden aan Sun, dat toen nog eigenaar van Java was. In 2004 presenteerde Gowdiak onderzoek over een lek in de Java-technologie, waardoor zo'n 250 miljoen telefoons kwetsbaar waren. In april van dit jaar was het weer raak. Toen rapporteerde Gowdiak meer dan 20 problemen in het net verschenen Java 7.

"Ik was verbaasd over de problemen die we tegenkwamen. Ik weet niet of er bij Oracle een groot verloop van personeel is of dat mensen met bepaalde aanvalstechnieken niet bekend zijn." Een aantal van de aanvalstechnieken die Gowdiak in 2005 ontwikkelde werkten ook tegen Java 7 dat een paar maanden geleden uitkwam. "Deze problemen werden opnieuw in Java 7 geïntroduceerd."

"We hebben twaalf tot veertien manieren ontdekt om volledig uit de sandbox te breken", laat Gowdiak weten. "Dat was verrassend, we hadden het niet verwacht." Ook ontdekte de Poolse onderzoeker een manier om een computer over te nemen via de Java extensies voor Apple QuickTime.

Oracle
Vanwege alle beveiligingsproblemen met Java wordt de roep om de software niet meer te gebruiken steeds sterker. Zelf gebruikt Gowdiak sinds 2005 geen Java meer. "Het is een wapenwedloop, onderzoekers vinden problemen, het bedrijf probeert ze te patchen. Soms worden ook nieuwe aanvalstechnieken ontwikkeld."

In het geval van de meest recente lekken gaat het echter om technieken die tenminste bij sommige partijen bekend waren. Hoe het kan dat Oracle deze problemen miste kan Gowdiak niet verklaren, maar mogelijk heeft de overgang van Java van Sun naar Oracle er iets mee te maken merkt hij op.

Richtlijnen
Gowdiak en zijn team waren ook verrast omdat veel van de problemen de belangrijkste richtlijnen om veilig met Java te programmeren schenden. Het gaat om de richtlijnen die gewoon op de Oracle website zijn te vinden. "Het zijn er veel en we ontdekten dat ze er aardig wat overtreden. Het is geen goede reclame voor Oracle, maar we waren blij dat we ze konden vinden en rapporteren." Oracle zou wel goed op de meldingen hebben gereageerd. Inmiddels wordt er aan een oplossing voor de problemen gewerkt.

Voor de toekomst verwacht Gowdiak nog veel meer Java-aanvallen, mede omdat de technologie op zoveel apparaten wordt gebruikt. "Als je Java installeert zie je een venster dat zegt dat Java op 2 miljard apparaten is geïnstalleerd." Gowdiak grapt dat zelfs de Lunar rover op Java draait.

Publiek
Oracle zou de Java-code beter moeten controleren vindt Gowdiak. "Zodra ze een probleem aangemeld krijgen, zouden ze de gehele code op dat probleem of aanval moeten testen." Daarnaast zou er een training voor de Java-ontwikkelaars moeten komen. "En richt je ook op het publiek wat betreft de veiligheid en problemen van Java. Het hacken van Java wordt al jaren onder de pet gehouden, dat is niet goed. Als een aantal van de problemen een paar jaar terug waren gepubliceerd, hadden we ze nu niet in Java 7 gezien."