El lado oscuro de Java

He encontrado un artículo bastante interesante, la fuente es DarkReading.com y el autor es Kelly jackson Higgins. Les dejo la traducción del mismo:

El Lado Oscuro de Java

Metasploit añade nuevo módulo para los más recientes ataques en Java cuando Java se convierte en el nuevo objetivo favorito de los cibercriminales

Dic 01, 2011 | 08:08 PM
Por Kelly Jackson Higgins
Dark Reading
Es una herramienta decadente por parte de los desarrolladores, pero Java permanece como una principal y todavía frecuentemente olvidada presencia en los ordenadores que resulta cada vez más el objetivo de los villanos.
¿Por qué Java como un vector de ataque?

Su penetrabilidad y el número desmedido de versiones anticuadas corriendo ahí afuera en los ordenadores están haciendo de Java el sombrero negro de elección de los hackers últimamente. Los números lo dicen todo: unos 80 sistemas empresariales corren versiones desactualizadas, no parcheadas de Java, de acuerdo con los datos de Qualys. Y desde el tercer cuarto de 2010, Microsoft ha detectado o bloqueado aproximadamente 6.9 millones de intentos de exploits sobre Java cada cuarto, con un total de 27.5 millones de intentos de exploits durante ese período de 12 meses.
En general, 3 mil millones de dispositivos usan Java en el mundo, y 80% de los navegadores lo hacen. Mientras tanto, algunos usuarios muy conocedores de seguridad lo están deshabilitando o desinstalándolo totalmente como precaución.
Desarrolladores de la ampliamente popular herramienta de prueba de penetración de Matasploit de código abierto, agregaron esta semana un nuevo módulo para el más reciente ataque Java que abusa de una vulnerabilidad recientemente parcheada en la implementación de Java de Oracle, Rhino. La falla en Oracle Java SE JDK y JRE 7 y 6 actualización 27 y versiones anteriores, que inicialmente fue anunciada por investigadores aquí y aquí y después fue rápidamente fructificada dentro de un kit de crimeware cladestino, como descubrió el bloguero Brian Krebs en su sitio web. Krebs On Security reportó que el ataque también estaba siendo corrido dentro del kit de crimeware BlackHole.
Java está donde quiera, y nadie lo actualiza adecuadamente“, asevera HD Moore, creador y arquitecto jefe para Metasploit y CSO en Rapid7. “Muy pocas empresas lo actualizan en sus ordenadores.
“Oracle si ofrece una función de auto-actualización para Java, pero requiere privilegios de administración para que el usuario del ordenador la utilice, algo que la mayoría de las empresas no permite“, dice Moore.

El director de Computación Confiable de Microsoft, Tim Rains, a inicios de esta semana apuntaba en un post que los fallos parcheaos en el software Java de Oracle han estado bajo asedio por meses. “Las vulnerabilidades en el software Java de Oracle han estado siendo atacadas a una escala relativamente grande por varios meses y, como ya mencionaba, las actualizaciones de seguridad para estas vulnerabilidades han estado disponibles por algún tiempo,” dice Rains. “Si usted no ha actualizado Java en su entorno recientemente, debería evaluar los riesgos presentes. Entre otras cosas, las organizaciones necesitan estar conscientes de que pueden tener múltiples versiones de Java corriendo“, dice.

La falla de Java de Oracle, que fue parcheada por Oracle el mes pasado, básicamente permite a un applet de Java correr código arbitrario fuera de la caja de arena de Java. Moore de Rapid7 dice que la llamada Java Rhino Exploit (que trabaja sobre múltiples plataformas, incluyendo Windows, iOS y Linux) ocurre en segundo plano, de manera inconsciente para el usuario golpeado por el exploit. Interesante, Linux es ahora mismo más vulnerable al ataque. “Oracle lo parcheó, Apple exigió una actualización a nivel de software. Pero la mayoría de los vendedores proveedores de Linux… no han exigido actualizaciones“, dice Moore.
Esto es típicamente utilizado como una primera etapa en un ataque multi-etapas, usado para descargar un archivo ejecutable o intalando un bot.
Wolfgang Kandek, CTO de Qualyx, dice tenier Metasploit soportando el último exploit ayudaría a elevar la conciencia sobre el peligro de apps de Java desactualizadas. “Los beneficios de tenerlo en Metasploit es que los chicos buenos pueden demostrar como este [ataque] funciona“, dice él.
Muchas de las organizaciones encontradas corriendo apps de Java desactualizadas en los datos de los clientes de Qualys eran grandes empresas, dice. “Existe la tendencia de no haber buenos procesos para parchear Java. Él vuela bajo el radar“, dice.

———– Y aquí termina el artículo.

Sin lugar a dudas, esto tiene mucho que ver con lo que antes le comentábamos… o sea, respecto a que Canonical dejará de ofrecer Java de Oracle en sus repositorios (Ubuntu, Kubuntu, Xubuntu, etc), pues obviamente, si Oracle no permite que se incluyan actualizaciones, no vale la pena, pues el usuario sería demasiado vulnerable a ataques como los antes mencionados.

En fin, ¿qué piensas al respecto? 😉

Saludos

PD: Justamente ayer estaba leyendo un tutorial sobre que es posible instalar Linux en mi Nokia N70, aún no decido hacerlo LOL!!!

Comparte para difundir

Si te ha gustado nuestro contenido ahora puedes ayudar a difundirlo en las redes sociales de manera sencilla usando los siguientes botones:

Envía
Pinea
Print

18 comentarios

  1.   invisible15 dijo

    Yo llevo tiempo usando IcedTea (OpenJDK, libre) y casi siempre lo tengo desactivado porque apenas le doy uso…

  2.   Alf dijo

    Yo tengo poco, cosa de 3 meses usando OpenJDK, no sabía exactamente la falla de seguridad en java, lo cambié sólo para ver como trabajaba libreoffice 😛

  3.   Erithrym dijo

    Sé que esto es casi offtopic pero… Linux en Nokia? Como? Si puedo quitarle la m___ de symbian a mi 5800 estaría encantado!

    1.    KZKG^Gaara dijo

      ¿sabías que Symbian es primo-hermano de Linux? 😀
      En fin, aún no leo suficiente información sobre esto de Linux en Nokia… no te preocupes, cuando encuentre alguna información decente te paso los links 😉

  4.   Tina Toledo dijo

    KZKG^Gaara… no te vayas a molestar conmigo pero… hay algunos errores en la traducción, por ejemplo:

    1.-“…are making Java the black hat hacker’s choice of late” debe ser “.. últimamente hacen de Java la elección de los hackers malintencionados”

    2.- “Vendor” en inglés también significa “Proveedor” (“Supplier”) por lo cual la frase “But most Linux vendors…” queda sin problema alguno “Pero la mayoría de los proveedores de Linux…”

    Saludos

    1.    KZKG^Gaara dijo

      Nah para nada 😀
      De veras que no me molesta, no soy traductor profesional ni mucho menos LOL!!!
      Lo arreglo ahora mismo 😉

      De veras, muchísimas gracias, entender el inglés no me cuesta trabajo, lo que me resulta un poco complejo es escribirlo y ordenarlo en español 😀

      Saludos

      1.    Tina Toledo dijo

        🙂
        A mí me sucede lo mismo con el español; las frases que contienen expresiones locales me cuesta trabajo entenderlas. Aunque ya son las menos algunas aun se me escapan.
        “Black hat hacker” es una expresión usada para designar al hacker mal intencionado y ciertamente es una camorra traducirlo al español.

        Saludos y un fuerte abrazo

  5.   Courage dijo

    ¿acaso está conciente de lo que dice

    No sé pero yo soy consciente de que “conciente” no aparece en el diccionario de la RAE.

    Además tenemos a vendedores en Linux como tito Mark y sus secuaces

    1.    KZKG^Gaara dijo

      A ver… mi laptop es Made in China, pero el control de CALIDAD es serie B de HP, o sea… en China se fabrican los componentes (mano de obra barata…) pero quien decide qué componentes son suficientemente buenos es el fabricante 😉

  6.   Tina Toledo dijo

    “Oracle si ofrece una función de auto-actualización para Java, pero requiere privilegios de administración para que el usuario del ordenador la utilice, algo que la mayoría de las empresas no permite“
    “Existe la tendencia de no haber buenos procesos para parchear Java.“

    Entonces el problema no es Java sino que los usuarios no tenemos la costumbre de actualizarlo ¿es así?

    1.    pandev92 dijo

      Sinceramente el problema de java es tan la seguridad, si lo comparamos con flash es 20 veces más seguro java, el problema es que es un lenguaje que se arrastra. es sexy para aprender pero es algo pesadillo LOL!

      1.    pandev92 dijo

        queria decir *no es tan la seguridad*

    2.    KZKG^Gaara dijo

      Muchas veces que tampoco se nos dá la posibilidad, Oracle con sus restricciones.
      Por mi parte estoy usando OpenJDK, y hasta ahora sin quejas 🙂

  7.   José Miguel dijo

    Intenté en Debian Squeeze desinstalar los sun-java y volver a los default, y se armaba una… que al final renuncie.

  8.   ubuntero dijo

    la verdad es que java era una buena alternativa hace ya tiempo ahora solo es muchos problemas 🙁

  9.   benybarba dijo

    una de las dependecias en mexico es SAT y IMSS que afuerza tienes q usar versiones muy viejas de mas de 3 años por q si no puedes entrar a sus portales.

  10. Yo trabajo sobre todo con usuarios administrativos y nunca actualizan nada y utilizan java para muchos programas gubernamentales y que requieren forzosamente ciertas versiones que incluyen grandes vulnerabilidades, esto también es un tema que instituciones como el IMSS y el SAT en México deberían tomas con mayor seriedad y mantener sus aplicaciones y no seguir distribuyendo software creado en 2004 o anterior con semejantes problemas

  11.   B dijo

    Pues yo he utilizado por bastante tiempo la sun-java y la verdad es que no tengo ninguna queja obteniendo los resultados que siempre he deseado e incluso llegando un poco más allá de lo convencional. La openjdk para el desarrollo pues no es algo que le recomendaría a cualquiera aunque supongo que ese es mi criterio. Saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.