Llegamos a ustedes gracias a:



Reportajes y análisis

Siete pasos para asegurar Java

Las advertencias de Homeland Security deben impulsar que los profesionales de seguridad endurezcan las redes de la empresa frente a los ataques basados en Java

[05/07/2013] Java, la popular plataforma independiente del sistema operativo y lenguaje de programación, se ejecuta en casi cualquier tipo de dispositivo electrónico imaginable, incluyendo computadoras, teléfonos celulares, impresoras, televisores, DVD, sistemas de seguridad, cajeros automáticos, sistemas de navegación, juegos y dispositivos médicos.
En respuesta al éxito de ataques basados en Java contra compañías como Twitter, Facebook, Apple y Microsoft, y la continua preocupación por las fallas de seguridad de "día cero" que podrían permitir que un atacante ejecute código malicioso remotamente para que pueda comprometer los sistemas vulnerables, el Computer Emergency Readiness Team (CERT) del U.S. Department Homeland Security, ha publicado varios avisos de seguridad sobre Java.
En las advertencias emitidas hasta la fecha, DHS recomienda desactivar Java en los navegadores web. En respuesta, Oracle, que se hizo cargo de Java cuando compró Sun, ha publicado una serie de parches, algunos fuera de banda (antes de lo previsto), y en un parche recientemente lanzado hizo cambios en cómo se manejan los applets de Java en los navegadores web.
En general, las advertencias de posibles amenazas a la seguridad no son nada nuevo y la mayoría de los administradores de seguridad de la red consideran que son parte del paisaje cotidiano de TI. La solución habitual es parchar sistemas con actualizaciones suministradas por el proveedor, y seguir las recomendaciones sobre las mejores prácticas que dan los proveedores. Sin embargo, en este caso, el consejo de desactivar o desinstalar el producto, no emitido por el vendedor, sino por las autoridades gubernamentales y otras terceras partes, crea un conjunto inusual de desafíos para las organizaciones.
Por lo tanto, aquí hay siete pasos que puede tomar para proteger su red contra ataques basados en Java. Dada su ubicuidad, la eliminación total de Java probablemente está fuera de la cuestión para la mayoría de las organizaciones. Pero aquí hay un plan de acción de siete pasos que no garantiza necesariamente la seguridad, pero le ayudará a mitigar las amenazas mediante la creación de conciencia, endurecimiento de los sistemas y la reducción de los vectores de ataque.
1. Realice un análisis de impacto
Un buen punto de partida es identificar dónde y cómo se utiliza Java, tanto dentro como fuera de la organización. ¿Su organización proporciona aplicaciones dependientes de Java para que accedan los proveedores, clientes y/o el público en general? A menos que ya haya tomado medidas para limitar el uso de Java, lo más probable es que esté presente en la mayoría de los navegadores de Internet, como parte del sistema operativo (especialmente ciertas versiones de Mac OS) y, en cualquier número de aplicaciones populares. Esto último es, probablemente, la mayor incógnita, ya que un gran número de aplicaciones de software comercial y de código abierto se basan en la plataforma Java. Comience por descubrir qué aplicaciones utilizan Java. ¿La aplicación es crítica para el negocio? Conocer el panorama completo de dependencia en la organización sobre las aplicaciones y plataformas basadas en Java es un requisito previo para el control de riesgos.
2. Mantenga Java actualizado y parchado en todo momento
Es de vital importancia mantener todos los equipos y dispositivos actualizados con la última versión de Java. Oracle solo admite la versión más reciente -no hay parches de seguridad disponibles para las versiones anteriores. Obtenga actualizaciones directamente desde Oracle para reducir el riesgo de inyección de código. Otro paso importante es desinstalar las versiones antiguas de Java de forma manual, ya que con la instalación de la última versión no necesariamente se garantiza que las versiones anteriores se eliminen. Considere la posibilidad de limitar el uso de aplicaciones basadas en Java a las máquinas virtuales que se pueden iniciar cuando se les necesita, y apáguelas cuando no hacen falta.
También hay que tener en cuenta que algunas aplicaciones pueden utilizar versiones anteriores de Java, y se podrían romper después de actualizar la última versión. Si la aplicación se basa en una versión antigua de Java, esto plantea un riesgo mucho mayor de seguridad y cualquier aplicación obsoleta deben ser actualizada o reemplazada.
3. Administre la configuración del panel de control de Java
Existen numerosas opciones disponibles en el Panel de control de Java (disponible en Windows y los clientes de Mac). Estos proporcionan un control muy granular de cómo está configurado Java en los equipos del cliente, desde la automatización de cambios a la configuración de seguridad de gestión. Las actualizaciones automáticas se pueden configurar para notificar o descargar la última actualización, pero lamentablemente no hay ninguna capacidad para que la empresa pueda instalar actualizaciones de forma automática. Esto significa que se necesitan pasos manuales para garantizar la aplicación de las últimas actualizaciones.
En cuanto a la configuración de seguridad, las últimas actualizaciones de la versión 7 de Java se han creado para que automáticamente utilicen la configuración de seguridad "alta", que tiene por objeto pedir la autorización de los usuarios antes de ejecutar applets no registradas. Este es un cambio en las versiones recientes de Java donde por defecto estaba en "medio". En el panel de control de Java, también puede desactivar Java cuando no se esté utilizándolo, pero hay algunos informes de applets sin registro y con una sola firma que están permitidos sin que se le consulte al usuario cuando se vuelva a activar Java.
4. Refuerce los navegadores web
Siempre que sea posible, desactive Java en los navegadores web. Si por alguna razón esta no es una opción, por lo menos considere deshabilitar el acceso remoto a las applets de Java. Una buena solución es utilizar un servidor proxy que limita peticiones remotas de Java, pero las permite a nivel local.
Otro enfoque recomendado por algunos administradores de TI es usar dos navegadores diferentes, uno que tenga permitido Java para su uso cuando es absolutamente necesario acceder a los sitios que requieren Java, y otro para el resto de la navegación. La aplicación de esto en la empresa puede ser un reto, pero puede configurar las reglas del proxy para que permitan que un solo tipo de navegador pueda acceder a sitios de Java, mientras bloquea otros.
5. Control de BYOD
En esta era de BYOD, lidiar con los múltiples dispositivos personales que los empleados utilizan para conectarse a la red de la empresa presenta su propio conjunto de desafíos. Java es ampliamente utilizado en aplicaciones móviles por lo que puede desarrollar las políticas corporativas que regulen cómo es que se proporciona acceso BYOD. Muchos de los nuevos dispositivos inteligentes que ejecutan Android, iOS, Windows Phone y 10 sistemas operativos Blackberry no incorporan Java. Sin embargo, la serie 40 de Nokia y el sistema operativo Bada, desarrollado por Samsung, y que se está volviendo cada vez más popular, están basados en Java. Asimismo, cabe señalar que desde que Java ME (Micro Edition) se limita a JRE 1.3, no está claro si alguna de las vulnerabilidades más recientes está presente en Java ME. Sin embargo, mediante la implementación de políticas de control de punto final se puede asegurar que el acceso a la red de la empresa se limita solo a ciertos tipos de dispositivos con las últimas actualizaciones aplicadas.
Como se mencionó en la introducción, Java también se utiliza en una variedad de otros dispositivos tales como impresoras, sistemas de seguridad, terminales de pago, etc., trate de identificar todos los dispositivos utilizados en su organización que se basan en Java y trabaje en estrecha colaboración con los proveedores para gestionar los riesgos. Dependiendo del tamaño de su organización, esto puede requerir un equipo de trabajo.
6. Revise los impactos de Java en sitios Web corporativos y en los portales de los clientes
Los sitios web corporativos son herramientas de marketing importantes y con frecuencia también son una fuente importante de ingresos a través del comercio electrónico. Si su sitio web utiliza applets de Java podría ser el momento de hacer algunos cambios, ya que no querrá estar atrapado con la funcionalidad crítica de un sitio inoperable debido a los visitantes que no cuentan con Java. Además, cuando se trata de usuarios finales públicos pueden surgir casos en los que los usuarios no solo han desactivado applets Java, sino también Javascript. Para garantizar una alta disponibilidad, utilice secuencias de comandos de detección para hacer frente a esta contingencia y redirija los clientes cuando sea necesario.
7. Si está desarrollando en Java, hágalo de forma responsable
Si está desarrollando en Java, no contribuya a los problemas de toda la industria mediante la producción de aplicaciones sin firma o con una sola firma. Registre o firme todas las aplicaciones utilizando la autoridad de certificación de confianza y adhiera otras mejores prácticas de la industria para el desarrollo Java. En un esfuerzo por animar a los desarrolladores a utilizar entidades emisoras de certificados de confianza, la actualización 21 de Java 7 de Oracle plantea más señales de alerta a los usuarios sobre los riesgos de seguridad de la ejecución de applets no registradas.
Algunas soluciones de terceros como el Entrust Authority Security Toolkit para Java permiten que los desarrolladores de Java puedan agregar funciones relacionadas con la seguridad como el cifrado y las firmas digitales a sus aplicaciones.
Conclusión
En los últimos tiempos, Oracle ha aumentado significativamente sus esfuerzos para corregir fallas y vulnerabilidades en sus plataformas Java. Sin embargo, esto está jugando como un juego del gato y el ratón, ya que las nuevas violaciones se descubren a veces, pocas horas después de la última revisión. El ciclo de cambios rápidos también está causando otros efectos colaterales. Algunos usuarios informan poder ejecutar applets sin firmar en el IE9 de Windows 7, incluso si la configuración es "alta" o "muy alta". Otros reportan problemas con aplicaciones antiguas que no funcionan correctamente en las versiones más recientes de Java 7. Basta decir que muchas plataformas y aplicaciones Java están en un estado de cambio, con problemas de seguridad pendientes. De ahí la necesidad de mantener un ojo vigilante. Oracle no quiso hacer comentarios sobre los temas de este artículo.
Susan Perschke, Network World (EE.UU.)