لقد وجدت مقالًا مثيرًا للاهتمام ، المصدر darkreading.com والمؤلف هو كيلي جاكسون هيغينز. أترك ترجمة ذلك:
الجانب المظلم لجافا
تضيف Metasploit وحدة جديدة لأحدث هجمات Java عندما تصبح Java الهدف المفضل الجديد لمجرمي الإنترنت
01 ديسمبر 2011 | 08:08 م
بقلم كيلي جاكسون هيغينز
قراءة الظلام
إنها أداة منحلة من جانب المطورين ، ولكن جافا يبقى وجودًا أساسيًا ولا يزال منسيًا بشكل متكرر على أجهزة الكمبيوتر التي يستهدفها الأشرار بشكل متزايد.
لماذا جافا كمتجه هجوم؟
إن قابليتها للاختراق والعدد الهائل من الإصدارات القديمة التي تعمل على أجهزة الكمبيوتر تجعل Java القبعة السوداء المفضلة للقراصنة مؤخرًا. تشير الأرقام إلى كل شيء: يعمل حوالي 80 نظامًا مؤسسيًا على إصدارات قديمة وغير مسبوقة من Java ، وفقًا لبيانات Qualys. ومنذ الربع الثالث من عام 2010 ، اكتشفت Microsoft أو حظرت ما يقرب من 6.9 مليون محاولة استغلال جافا كل ربع سنة ، بإجمالي 27.5 مليون محاولة استغلال خلال فترة 12 شهرًا.
بشكل عام ، يستخدم 3 مليارات جهاز Java في العالم ، و 80٪ من المتصفحات تستخدمه. وفي الوقت نفسه ، يقوم بعض المستخدمين المتمرسين في مجال الأمان بتعطيله أو إلغاء تثبيته كإجراء احترازي.
أضاف مطورو أداة اختبار الاختراق Matasploit الشهيرة على نطاق واسع هذا الأسبوع وحدة جديدة لأحدث هجوم Java الذي يسيء إلى ثغرة أمنية تم تصحيحها مؤخرًا في تطبيق Java من Oracle ، Rhino. الخلل في Oracle Java SE JDK و JRE 7 و 6 التحديث 27 والإصدارات السابقة ، والتي أعلن عنها الباحثون في البداية هنا y هنا ثم سرعان ما تؤتي ثمارها في مجموعة أدوات الجريمة السرية ، كما اكتشف المدون بريان كريبس في موقع الويب الخاص بك. ذكرت كريبس أون سيكيوريتي أن الهجوم كان يجري أيضًا داخل مجموعة أدوات الجريمة الخاصة بـ BlackHole.
«جافا أينما تريد ، ولا أحد يقوم بتحديثها بشكل صحيح«يقول HD Moore ، مبتكر وكبير المهندسين المعماريين لشركة Metasploit و CSO في Rapid7. «عدد قليل جدًا من الشركات تقوم بتحديثه على أجهزة الكمبيوتر الخاصة بهم.»
"تقدم Oracle ميزة التحديث التلقائي لـ Java ، ولكنها تتطلب امتيازات إدارية لمستخدم الكمبيوتر لاستخدامها ، وهو أمر لا تسمح به معظم الشركات"يقول مور.
أشار مدير الحوسبة الموثوقة بشركة Microsoft ، Tim Rains ، في وقت سابق من هذا الأسبوع في منشور إلى أن الأخطاء المصححة في برنامج Java من Oracle كانت تحت الحصار منذ شهور. «تعرضت الثغرات الأمنية في برنامج Java من Oracle للهجوم على نطاق واسع نسبيًا لعدة أشهر ، وكما ذكرت ، كانت التحديثات الأمنية لهذه الثغرات متاحة لبعض الوقت.»يقول المطر. «إذا لم تقم بتحديث Java في بيئتك مؤخرًا ، فيجب عليك تقييم المخاطر الموجودة. من بين أشياء أخرى ، يجب أن تدرك المؤسسات أنه يمكن أن يكون لديها إصدارات متعددة من Java قيد التشغيل.«يقول.
عيب Java من Oracle ، والذي تم تصحيحه بواسطة Oracle الشهر الماضي ، يسمح أساسًا لتطبيق Java الصغير بتشغيل تعليمات برمجية عشوائية خارج وضع الحماية لـ Java. يقول مور من Rapid7 أن ما يسمى Java Rhino Exploit (الذي يعمل على منصات متعددة ، بما في ذلك Windows و iOS و Linux) يحدث في الخلفية ، فاقدًا للوعي للمستخدم الذي تعرض للاستغلال. ومن المثير للاهتمام أن نظام Linux أصبح الآن أكثر عرضة للهجوم. «قامت شركة Oracle بتصحيحها ، وطالبت Apple بتحديث البرنامج. لكن معظم الباعة مزودي لينكس ؟؟ لم تطلب التحديثات"يقول مور.
يستخدم هذا عادةً كمرحلة أولى في هجوم متعدد المراحل ، ويستخدم لتنزيل ملف قابل للتنفيذ أو عن طريق تثبيت روبوت.
يقول Wolfgang Kandek ، كبير التكنولوجيا في Qualyx ، إن Tenier Metasploit الذي يدعم أحدث استغلال من شأنه أن يساعد في زيادة الوعي حول خطر تطبيقات Java القديمة. «فوائد الحصول عليها على Metasploit هي أن الرجال اللطفاء يمكنهم توضيح كيفية عمل هذا [الهجوم]"، هو يقول.
وجد العديد من المؤسسات أن تشغيل تطبيقات جافا القديمة على بيانات عملاء Qualys كانت شركات كبيرة ، كما يقول. «هناك ميل لعدم وجود عمليات جيدة لتصحيح Java. إنه يطير تحت الرادار«يقول.
---- وهنا تنتهي المقالة.
ولا ريب أن لهذا الأمر علاقة بما ذكرناه من قبل ... أي بماذا ستتوقف Canonical عن تقديم Java من Oracle في مستودعاتها (أوبونتو, كوبونتو, إكس أوبونتو، إلخ) ، من الواضح ، نعم Oracle لا يسمح بتضمين التحديثات ، فهذا لا يستحق ذلك ، لأن المستخدم سيكون عرضة للهجمات مثل تلك المذكورة أعلاه.
على أي حال ، ما رأيك في ذلك؟ 😉
تحياتي
PD: بالأمس فقط كنت أقرأ درسًا تعليميًا حول كيفية تثبيت Linux على جهاز Nokia N70 ، ما زلت لم أقرر القيام بذلك LOL !!!
لقد كنت أستخدم IcedTea (OpenJDK ، مجانًا) لفترة طويلة وكنت دائمًا أقوم بتعطيله لأنني بالكاد أستخدمه ...
لدي القليل ، حوالي 3 أشهر باستخدام OpenJDK ، لم أكن أعرف بالضبط الخلل الأمني في جافا ، لقد غيرته فقط لأرى كيف يعمل libreoffice 😛
أعلم أن هذا بعيد المنال تقريبًا ولكن… Linux على Nokia؟ كيف؟ إذا كان بإمكاني إخراج رمز m___ من جهاز 5800 ، فسأكون سعيدًا!
هل تعلم أن سيمبيان هو ابن عم لينكس الأول؟ 😀
على أي حال ، ما زلت لا أقرأ معلومات كافية حول نظام Linux هذا على Nokia ... لا تقلق ، عندما أجد بعض المعلومات اللائقة ، سأقدم لك الروابط 😉
KZKG ^ Gaara ... لا تهتموا بي ولكن ... هناك بعض الأخطاء في الترجمة ، على سبيل المثال:
1.- «... جعلوا اختيار جافا للقرصنة السوداء مؤخرًا» يجب أن يكون «.. مؤخرًا جعلوا جافا اختيار المتسللين الخبثاء»
2.- تعني كلمة "Vendor" باللغة الإنجليزية أيضًا "المورد" ("المورد") لذا فإن عبارة "لكن معظم بائعي Linux ..." تظل بدون أي مشكلة "ولكن معظم بائعي Linux ..."
تحياتي
لا لشيء 😀
هذا لا يزعجني حقًا ، فأنا لست مترجمًا محترفًا ، ناهيك عن LOL !!!
أنا أصلحه الآن 😉
حقًا ، شكرًا جزيلاً ، فهم اللغة الإنجليزية ليس صعبًا بالنسبة لي ، ما هو معقد بعض الشيء بالنسبة لي هو كتابتها وطلبها باللغة الإسبانية 😀
تحياتي
؟؟؟؟
نفس الشيء يحدث لي مع الإسبانية. يصعب علي فهم العبارات التي تحتوي على تعبيرات محلية. على الرغم من أنهم على الأقل لا يزال البعض يهرب مني.
"القراصنة ذو القبعة السوداء" هو تعبير يستخدم للإشارة إلى المتسلل الخبيث ومن المؤكد أن ترجمته إلى اللغة الإسبانية أمر مثير للقلق.
تحيات وعناق قوي
لا أعرف ولكني أدرك أن كلمة "واعية" لا تظهر في قاموس RAE.
لدينا أيضًا بائعو Linux مثل Tito Mark وأتباعه
دعنا نرى ... جهاز الكمبيوتر المحمول الخاص بي مصنوع في الصين ، لكن التحكم في الجودة هو سلسلة HP's B ، أي ... يتم تصنيع المكونات في الصين (العمالة الرخيصة ...) ولكن من يقرر أي المكونات جيدة بما يكفي هي الشركة المصنعة
"تقدم Oracle وظيفة التحديث التلقائي لـ Java ، ولكنها تتطلب امتيازات إدارية لمستخدم الكمبيوتر لاستخدامها ، وهو أمر لا تسمح به معظم الشركات"
"هناك ميل لعدم وجود عمليات جيدة لتصحيح Java."
فالمشكلة ليست جافا ولكن المستخدمين ليس لديهم عادة تحديثها ، أليس كذلك؟
بصراحة ، مشكلة جافا تكمن في الأمان ، إذا قارناها بالفلاش ، فستكون جافا أكثر أمانًا 20 مرة ، لكن المشكلة هي أنها لغة تزحف. من المثير التعلم ولكنه كابوس LOL!
أردت أن أقول * ليس هذا الأمن *
في كثير من الأحيان لم يتم منحنا الإمكانية أيضًا ، أوراكل مع قيودها.
من ناحيتي ، أستخدم OpenJDK ، وحتى الآن لا توجد شكاوى 🙂
حاولت في Debian Squeeze إلغاء تثبيت sun-java والعودة إلى تلك الافتراضية ، و… في النهاية تركتُ.
الحقيقة هي أن جافا كانت بديلاً جيدًا منذ فترة طويلة الآن إنها مجرد مشاكل كثيرة 🙁
إحدى التبعيات في المكسيك هي SAT و IMSS ، والتي تتأكد من أنه يتعين عليك استخدام إصدارات قديمة جدًا لأكثر من 3 سنوات ، لأنه إذا لم تتمكن من الدخول إلى بواباتها.
أنا أعمل في الغالب مع المستخدمين الإداريين ولا يقومون أبدًا بتحديث أي شيء ويستخدمون جافا للعديد من البرامج الحكومية وهذا يتطلب بالضرورة إصدارات معينة تتضمن نقاط ضعف كبيرة ، وهذه أيضًا مشكلة يجب على المؤسسات مثل IMSS و SAT في المكسيك التعامل معها بجدية أكبر و الاحتفاظ بتطبيقاتك وعدم توزيع البرامج التي تم إنشاؤها في عام 2004 أو قبل ذلك مع مثل هذه المشاكل
حسنًا ، لقد استخدمت sun-java لبعض الوقت والحقيقة هي أنه ليس لدي أي شكاوى في الحصول على النتائج التي طالما أردتها وحتى تجاوزت قليلاً التقليدية. إن برنامج openjdk للتطوير ليس شيئًا أوصي به لأي شخص على الرغم من أنني أفترض أن هذا هو معياري. في صحتك