Eerder deze week liet beveiligingsonderzoeker Eric Romang weten dat de gehackte bedrijven hun computers beter hadden moeten beveiligen. Niet alleen zouden er volgens de onderzoeker verouderde Java-versies zijn gebruikt, ook was het beveiligingsniveau voor Java-applets niet verhoogd, wat had voorkomen dat de computers besmet waren geraakt.
0-day in security focus ? :
Als aangegeven in een reactie onder eerder artikel met analyses van Eric Romang lijkt 'iedereen' een voor de hand liggend punt te missen. *
Namelijk dat de oorzaak van de besmetting lijkt te liggen in niet up to date software van Oracle voor het Mac platform zelf ; Application Development Framework (ADF).
Dit werkt voor de Mac alleen onder JVM 6 en niet onder JVM 7. *
De analyse dat er gebuikt zou zijn gemaakt van oudere Java versies is daarmee op zich juist maar betreft dan geen onzorgvuldigheid omdat er immers geen mogelijkheid is te updaten naar een hogere (veiliger) versie.
De oplossing van het verhogen van de beveiliging van de java applets snijdt daarmee geen hout meer omdat deze mogelijkheid is aangebracht in JVM versie 7, een versie waarvan in dit geval geen gebruik gemaakt kan worden doordat het simpelweg niet wordt ondersteund in combinatie met de ADF developer software. *
Het aanbieden van Mac software dat gebaseerd is op JVM 6 is verder nogal opmerkelijk omdat Oracle inmiddels heeft aangekondigd JVM 6 support voor andere platformen juist te gaan afbouwen.
De enig relevante en verwijtbare onzorgvuldigheid is dan nog dat betreffende developers de Mac's waarop een verouderd JVM (6) draaide ook gebruikten om het web te bezoeken. Wat overigens goed te voorkomen is / was door tijdelijk het JVM en de browser plugins te deactiveren of te browsen met een andere machine of onder een ander OS X met gebruik van bijvoorbeeld een dual boot (of meer) optie. (heel werkbaar weet ik uit eigen ervaring).
Werkelijk verbazingwekkend is dat dit punt door de officiële security onderzoekers en bedrijven 'nergens' (?*) wordt aangestipt.
Onder meer door F-secure die bijvoorbeeld wel de market share van Mac gebruik aanhaalt; 15 % onder reguliere gebruikers en de veronderstelling dat dit wel eens 85% zou kunnen zijn onder developers in 'S'-Valley.
Dat bij een dergelijk verondersteld significant hoog percentage Mac's onder developer-gebruikers de elementaire reden en praktische oorzaak niet wat dieper wordt onderzocht vind ik onbegrijpelijk, alsook de reden waarom Oracle de ADF software voor Mac niet onder een geüpdate JVM 7 laat draaien. *
Er is technisch diepgaand aandacht voor en onderzoek naar gevolg, gemist is een basis analyse met simpele aandacht voor en vragen omtrent de werkwijze van betreffende developers die, wanneer ze met betreffend ADF zouden hebben gewerkt, dan uit noodzaak bewust veiligheidsblokkades ongedaan hebben moeten maken om de software werkend te krijgen.
Vraag daarbij is nog of het eigenlijk wel uitmaakt; betreft het een 0-day die alleen werkt voor versies JVM 6 en ouder of geldt deze ook voor JVM 7 versies?
Gemiste focus binnen gebied van social enginering ;
gebruik van social enginering technieken om malware werkend te krijgen gaan niet alleen over het beïnvloeden van het gedrag / verleiden van gebruikers maar zeker ook over het doelgericht inspringen op veel voorkomende configuraties (combinatie gebruik van veelvoorkomende software, plugins etc.) of mis-configuraties (ongepatchte systemen).
Een geweldige open deur ; van reguliere gebruikers is wel bekend welke software en plugins veel gebruikt worden.
Maar waar werken (Mac) developers dan zoal mee?
Hoe gaan developers om met security issue's? ,.. ..
Ik zie met belangstelling uit naar een goede analyse of een interview met een developer die gevraagd wordt naar zijn Mac configuratie en de redenen waarom hij / zij bijvoorbeeld (nog) gebruikt maakt van Java (naast ws. bijvoorbeeld XCode,.. .) en welke rol security speelt in het development proces.
* (correcties aanvullingen welkom)