Pronašao sam prilično zanimljiv članak, izvor je darkreading.com a autor je Kelly Jackson Higgins. Ostavljam prevod:
Tamna strana Jave
Metasploit dodaje novi modul za najnovije Java napade kada Java postane nova omiljena meta cyber kriminalaca
01. 2011. 08. | 08:XNUMX
Napisala Kelly Jackson Higgins
Mračno čitanje
To je dekadentni alat programera, ali Java i dalje je primarno i još uvijek često zaboravljeno prisustvo računara koje je sve više na meti zlikovaca.
Zašto Java kao vektor napada?
Njegova prodornost i neumjeren broj zastarjelih verzija koje se tamo pojavljuju na računarima čine Javu crnim šeširom izbora za hakere u posljednje vrijeme. Brojevi govore sve: Oko 80 korporativnih sistema pokreće zastarjele, neprširene verzije Jave, prema podacima Qualysa. A od trećeg kvartala 2010. godine, Microsoft je otkrio ili blokirao približno 6.9 miliona pokušaja eksploatacije Jave svakog tromjesečja, sa ukupno 27.5 miliona pokušaja eksploatacije tokom tog 12-mjesečnog perioda.
Sveukupno, 3 milijarde uređaja koristi Java u svijetu, a 80% pregledača to koristi. U međuvremenu, neki vrlo pametni korisnici pametno ga onemogućuju ili deinstaliraju iz predostrožnosti.
Programeri široko popularnog alata za testiranje penetracije Matasploit ove sedmice dodali su novi modul za najnoviji Java napad koji zloupotrebljava nedavno zakrpljenu ranjivost u Oracleovoj Java implementaciji, Rhino. Greška u Oracle Java SE JDK i JRE 7 i 6 ažuriranju 27 i ranijim verzijama, što su istraživači u početku najavili ovdje y ovdje a zatim se brzo ostvario u podzemnom priboru za kriminal, kao što je otkrio bloger Brian Krebs svoju web stranicu. Krebs On Security izvijestio je da se napad izvodio i u okviru kriminalnog softvera BlackHole.
«Java je gdje god želi i niko je ne ažurira kako treba«Kaže HD Moore, tvorac i glavni arhitekt za Metasploit i CSO u Rapid7. «Veoma malo kompanija ga ažurira na svojim računarima.»
„Oracle nudi funkciju automatskog ažuriranja za Javu, ali zahtijeva administrativne privilegije da bi je korisnik računara mogao koristiti, nešto što većina kompanija ne dozvoljava"Kaže Moore.
Microsoftov direktor Trusted Computing-a Tim Rains ranije ove nedelje istakao je u postu da su zakrpljene greške u Oracleovom Java softveru pod opsadom već mesecima. «Ranjivosti u Oracleovom Java softveru napadnute su u relativno velikom obimu već nekoliko mjeseci i, kao što sam spomenuo, sigurnosna ažuriranja za ove ranjivosti dostupna su već neko vrijeme.»Kaže kiša. «Ako nedavno niste ažurirali Javu u svom okruženju, trebali biste procijeniti prisutne rizike. Između ostalog, organizacije moraju biti svjesne da mogu imati više verzija Jave.", On kaže.
Oracleova Java greška, koju je Oracle zakrpio prošlog mjeseca, u osnovi omogućava Java apletu da pokreće proizvoljan kôd izvan Java pješčanika. Moore iz Rapid7-a kaže da se takozvani Java Rhino Exploit (koji radi na više platformi, uključujući Windows, iOS i Linux) dešava u pozadini, nesvjestan prema korisniku pogođenom eksploatacijom. Zanimljivo je da je Linux sada ranjiviji na napade. «Oracle ga je zakrpio, Apple je zatražio ažuriranje softvera. Ali većina prodavaca Linux provajderi ?? nisu potrebna ažuriranja"Kaže Moore.
To se obično koristi kao prva faza u višestepenom napadu, koristi se za preuzimanje izvršne datoteke ili instaliranje bota.
Wolfgang Kandek, tehnički direktor Qualyxa, kaže da bi stariji Metasploit koji podržava najnoviju verziju pomogao u podizanju svijesti o opasnosti zastarjelih Java aplikacija. «Prednosti postojanja na Metasploitu su u tome što fini momci mogu pokazati kako ovaj [napad] funkcionira", On kaže.
Mnoge organizacije za koje je utvrđeno da koriste zastarjele Java aplikacije na Qualysovim podacima o kupcima bile su velike kompanije, kaže on. «Postoji tendencija da nema dobrih procesa za krpanje Jave. Leti ispod radara", On kaže.
---- I tu se članak završava.
Nesumnjivo, ovo ima mnogo veze s onim što smo prije spomenuli ... odnosno s čim Canonical će prestati nuditi Javu iz Oraclea u svojim spremištima (Ubuntu, Kubuntu, Xubuntu, itd.), očito, da proročanstvo ne dopušta uključivanje ažuriranja, ne isplati se, jer bi korisnik bio previše ranjiv na napade poput gore spomenutih.
Uostalom, što mislite o tome? 😉
Saludos
P.S: Baš sam jučer čitao vodič o tome kako je moguće instalirati Linux na moju Nokiju N70, još uvijek nisam odlučio to učiniti LOL !!!
Već dugo koristim IcedTea (OpenJDK, besplatan) i gotovo uvijek mi je onemogućen jer ga jedva koristim ...
Imam malo, otprilike 3 mjeseca koristeći OpenJDK, nisam točno znao sigurnosnu manu u javi, promijenio sam je samo da vidim kako funkcionira libreoffice 😛
Znam da je ovo gotovo van teme, ali ... Linux na Nokiji? Kao? Ako uspijem izvaditi symbian m___ sa svog 5800, bio bih oduševljen!
Jeste li znali da je Symbian prvi rođak Linuxa? 😀
Svejedno, još uvijek ne čitam dovoljno informacija o ovom Linuxu na Nokiji ... ne brinite, kad nađem neke pristojne informacije, dat ću vam linkove 😉
KZKG ^ Gaara ... ne zamarajte se sa mnom, ali ... postoje neke greške u prijevodu, na primjer:
1 .- «… čine Javu odavno odabirom hakera crnih šešira» trebao bi biti «.. u posljednje vrijeme Javu čine izborom zlonamjernih hakera»
2.- "Dobavljač" na engleskom jeziku znači i "Dobavljač" ("Dobavljač"), pa fraza "Ali većina dobavljača Linuxa ..." ostaje bez problema "Ali većina dobavljača Linuxa ..."
Saludos
Ma ne za ništa nothing
Zaista mi ne smeta, nisam profesionalni prevoditelj, a još manje LOL !!!
Ispravljam to odmah 😉
Zaista, puno vam hvala, razumijevanje engleskog mi nije teško, ono što mi je pomalo složeno je to što ga napišem i naručim na španskom 😀
Saludos
🙂
Ista stvar mi se događa sa španskim jezikom; Teško mi je razumjeti fraze koje sadrže lokalne izraze. Iako su mi već neki još uvijek pobjegli.
"Hak crni šešir" izraz je koji se koristi za označavanje zlonamjernog hakera i zasigurno je frka prevesti ga na španski jezik.
Pozdrav i jak zagrljaj
Ne znam, ali svjestan sam da se "svjestan" ne pojavljuje u RAE rječniku.
Takođe imamo dobavljače Linuxa poput Tita Marka i njegovih poslušnika
Da vidimo ... moj laptop je napravljen u Kini, ali kontrola KVALITETA je HP-ova B serija, odnosno ... komponente su proizvedene u Kini (jeftina radna snaga ...), ali onaj ko odluči koje su komponente dovoljno dobre je proizvođač 😉
"Oracle nudi funkciju automatskog ažuriranja za Javu, ali zahtijeva administrativne privilegije da bi je korisnik računara mogao koristiti, nešto što većina kompanija ne dopušta."
"Postoji trend da se nemaju dobri procesi za krpanje Jave."
Dakle, problem nije Java, već što korisnici nemaju naviku da je ažuriraju, zar ne?
Iskreno, problem s javom je toliko siguran, ako je usporedimo s bljeskalicom java je 20 puta sigurnija, problem je što je to jezik koji puzi. seksi je učiti, ali to je noćna mora LOL!
Htio sam reći * nije toliko sigurnost *
Mnogo puta ni nama nije data mogućnost, Oracle sa svojim ograničenjima.
Sa svoje strane koristim OpenJDK i zasad nemam pritužbi 🙂
Pokušao sam u Debian Squeezeu deinstalirati sun-javu i vratiti se na zadane, i ... da sam na kraju dao otkaz.
istina je da je java davno bila dobra alternativa, sad je to samo puno problema 🙁
Jedna od zavisnosti u Meksiku je SAT i IMSS, što osigurava da morate koristiti vrlo stare verzije duže od 3 godine, jer ako ne možete ući na njihove portale.
Uglavnom radim s administrativnim korisnicima i oni nikad ništa ne ažuriraju, a javu koriste za mnoge vladine programe i koji nužno zahtijevaju određene verzije koje uključuju velike ranjivosti, ovo je također tema koju bi institucije poput IMSS-a i SAT-a u Meksiku trebale ozbiljnije shvatiti i zadržite svoje aplikacije i više ne distribuirajte softver stvoren 2004. ili ranije s takvim problemima
Pa, koristim sun-javu već duže vrijeme i istina je da nemam zamjerki da bih postigao rezultate koje sam oduvijek želio, pa čak i malo više od uobičajenog. Openjdk za razvoj nije nešto što bih preporučio bilo kome, iako pretpostavljam da su to moji kriteriji. Živjeli