He trobat un article força interessant, la font és DarkReading.com i l'autor és Kelly jackson Higgins. Els deixo la traducció de la mateixa:
El Costat Fosc de Java
Metasploit afegeix nou mòdul per als més recents atacs en Java quan Java es converteix en el nou objectiu favorit dels cibercriminals
01 desembre 2011 | 08:08 PM
Per Kelly Jackson Higgins
Lectura fosca
És una eina decadent per part dels desenvolupadors, però Java roman com una principal i encara freqüentment oblidada presència en els ordinadors que resulta cada vegada més l'objectiu dels dolents.
Per què Java com un vector d'atac?
La seva penetrabilitat i el nombre desmesurat de versions antiquades corrent allà fora en els ordinadors estan fent de Java el barret negre d'elecció dels hackers últimament. Els números ho diuen tot: uns 80 sistemes empresarials corren versions desactualitzades, no parcheadas de Java, d'acord amb les dades de Qualys. I des del tercer quart de 2010, Microsoft ha detectat o bloquejat aproximadament 6.9 d'intents d'gestes sobre Java cada quart, amb un total de 27.5 milions d'intents de gestes durant aquest període de 12 mesos.
En general, 3 mil milions de dispositius usen Java al món, i 80% dels navegadors ho fan. Mentrestant, alguns usuaris molt coneixedors de seguretat ho estan deshabilitant o desinstalándolo totalment com a precaució.
Desenvolupadors de la àmpliament popular eina de prova de penetració de Matasploit de codi obert, han afegit aquesta setmana un nou mòdul per al més recent atac Java que abusa d'una vulnerabilitat recentment apedaçada en la implementació de Java d'Oracle, Rhino. La falla en Oracle Java SE JDK i JRE 7 i 6 actualització 27 i versions anteriors, que inicialment va ser anunciada per investigadors aquí y aquí i després va ser ràpidament fructificada dins d'un kit de crimeware cladestino, com va descobrir el blocaire Brian Krebs en el seu lloc web. Krebs On Security reportar que l'atac també estava sent corregut dins el kit de crimeware BlackHole.
«Java està on vulgui, i ningú ho actualitza adequadament«, Assevera HD Moore, creador i arquitecte en cap per Metasploit i CSO en Rapid7. «Molt poques empreses ho actualitzen en els seus ordinadors.»
«Oracle si ofereix una funció d'auto-actualització per a Java, però requereix privilegis d'administració perquè l'usuari de l'ordinador la utilitzi, cosa que la majoria de les empreses no permet«, Diu Moore.
El director de Computació Confiable de Microsoft, Tim Rains, a inicis d'aquesta setmana apuntava en un post que les fallades parcheaos en el programari Java d'Oracle han estat sota setge per mesos. «Les vulnerabilitats en el programari Java d'Oracle han estat sent atacades a una escala relativament gran per diversos mesos i, com ja esmentava, les actualitzacions de seguretat per a aquestes vulnerabilitats han estat disponibles per algun temps,»Diu Rains. «Si no ha actualitzat Java en el seu entorn recentment, hauria d'avaluar els riscos presents. Entre altres coses, les organitzacions necessiten estar conscients que poden tenir múltiples versions de Java corrent«, Diu.
La falla de Java d'Oracle, que va ser apedaçada per Oracle el mes passat, bàsicament permet a un applet de Java córrer codi arbitrari fora de la caixa de sorra de Java. Moore d'Rapid7 diu que l'anomenada Java Rhino Exploit (que treballa sobre múltiples plataformes, incloent Windows, iOS i Linux) passa a segon pla, de manera inconscient per a l'usuari colpejat per l'exploit. Interessant, Linux és ara mateix més vulnerable a l'atac. «Oracle ho pegats, Apple va exigir una actualització a nivell de programari. Però la majoria dels venedors proveïdors de Linux ?? no han exigit actualitzacions«, Diu Moore.
Això és típicament utilitzat com una primera etapa en un atac multi-etapes, usat per descarregar un arxiu executable o intalando un bot.
Wolfgang Kandek, CTO de Qualyx, diu tenier Metasploit suportant l'últim exploit ajudaria a elevar la consciència sobre el perill d'apps de Java desactualitzades. «Els beneficis de tenir-ho en Metasploit és que els nois bons poden demostrar com aquest [atac] funciona«, Diu ell.
Moltes de les organitzacions trobades corrent apps de Java desactualitzades en les dades dels clients de Qualys eren grans empreses, diu. «Hi ha la tendència de no haver bons processos per posar pegats Java. Ell vola sota el radar«, Diu.
---- I aquí acaba l'article.
Sense cap dubte, això té molt a veure amb el que abans li comentàvem ... o sigui, respecte al fet que Canonical deixarà d'oferir Java d'Oracle en els seus repositoris (Ubuntu, Kubuntu, Xubuntu, Etc.), ja que òbviament, si Oracle no permet que s'incloguin actualitzacions, no val la pena, ja que l'usuari seria massa vulnerable a atacs com els abans esmentats.
En fi, què penses a l'respecte? 😉
Salutacions
PD: Justament ahir estava llegint un manual sobre que és possible instal·lar Linux al meu Nokia N70, encara no decideixo fer-ho LOL !!!
Jo porto temps utilitzant IcedTea (OpenJDK, lliure) i gairebé sempre el tinc desactivat perquè amb prou feines li dono ús ...
Jo tinc poc, cosa de 3 mesos usant OpenJDK, no sabia exactament la falla de seguretat en Java, el vaig canviar només per veure com treballava LibreOffice 😛
Sé que això és gairebé offtopic però ... Linux a Nokia? Com? Si puc treure-li la m___ de java al meu 5800 estaria encantat!
Sabies que Symbian és primer-germà de Linux? 😀
En fi, encara no llegeixo prou informació sobre això de Linux a Nokia ... no et preocupis, quan trobi alguna informació decent et pas els links 😉
KZKG ^ Gaara ... no et vagis a molestar amb mi però ... hi ha alguns errors en la traducció, per exemple:
1 .- «... are making Java the black hat hacker 's choice of batega» ha de ser «.. últimament fan de Java l'elecció dels hackers malintencionats»
2.- «Vendor» en anglès també significa «Proveïdor» ( «Supplier») per la qual cosa la frase «But most Linux vendors ...» queda sense cap problema «Però la majoria dels proveïdors de Linux ...»
Salutacions
Nah per a res 😀
De debò que no em molesta, no sóc traductor professional ni de bon tros LOL !!!
El arranjament ara mateix 😉
De debò, moltíssimes gràcies, entendre l'anglès no em costa, el que em resulta una mica complex és escriure-ho i ordenar-ho en espanyol 😀
Salutacions
🙂
A mi em passa el mateix amb l'espanyol; les frases que contenen expressions locals em costa entendre-les. Tot i que ja són les menys algunes encara se m'escapen.
«Black hat hacker» és una expressió usada per designar el hacker mal intencionat i certament és una camorra traduir-lo a l'espanyol.
Salutacions i una forta abraçada
No sé però jo sóc conscient que «conscient» no apareix en el diccionari de la RAE.
A més tenim a venedors en Linux com tito Mark i els seus sequaços
A veure ... el meu portàtil és Made in Xina, però el control de QUALITAT és sèrie B d'HP, o sigui ... a la Xina es fabriquen els components (mà d'obra barata ...) però qui decideix quins components són prou bons és el fabricant 😉
"Oracle si ofereix una funció d'auto-actualització per a Java, però requereix privilegis d'administració perquè l'usuari de l'ordinador la utilitzi, cosa que la majoria de les empreses no permet"
"Hi ha la tendència de no haver bons processos per posar pegats Java."
Llavors el problema no és Java sinó que els usuaris no tenim el costum d'actualitzar-lo ¿és així?
Sincerament el problema de java és tan la seguretat, si ho comparem amb flash és 20 vegades més segur java, el problema és que és un llenguatge que s'arrossega. és sexy per aprendre però és una cosa pesadillo LOL!
volia dir * no és tan la seguretat *
Moltes vegades que tampoc se'ns dóna la possibilitat, Oracle amb les seves restriccions.
Per la meva part estic fent servir OpenJDK, i fins ara sense queixes 🙂
Vaig intentar en Debian Squeeze desinstal·lar els sun-java i tornar als default, i s'armava XNUMX ... que a la fi renunciï.
la veritat és que java era una bona alternativa fa ja temps ara només és molts problemes 🙁
una de les dependecias en mexico és SAT i IMSS que afuerza tens q fer servir versions molt velles de més de 3 anys per q si no pots entrar als seus portals.
Jo treball sobretot amb usuaris administratius i mai actualitzen res i utilitzen java per a molts programes governamentals i que requereixen forçosament certes versions que inclouen grans vulnerabilitats, això també és un tema que institucions com l'IMSS i el SAT a Mèxic haurien preses amb major serietat i mantenir les seves aplicacions i no seguir distribuint programari creat el 2004 o anterior amb semblants problemes
Doncs jo he utilitzat per bastant temps la sun-java i la veritat és que no tinc cap queixa obtenint els resultats que sempre he desitjat i fins i tot arribant una mica més enllà del que és convencional. La openjdk per al desenvolupament ja que no és una cosa que li recomanaria a qualsevol encara que suposo que aquest és el meu criteri. Salutacions