He encontrado un artículo bastante interesante, la fuente es DarkReading.com y el autor es Kelly jackson Higgins. Les dejo la traducción del mismo:
El Lado Oscuro de Java
Metasploit añade nuevo módulo para los más recientes ataques en Java cuando Java se convierte en el nuevo objetivo favorito de los cibercriminales
Dic 01, 2011 | 08:08 PM
Por Kelly Jackson Higgins
Dark Reading
Es una herramienta decadente por parte de los desarrolladores, pero Java permanece como una principal y todavía frecuentemente olvidada presencia en los ordenadores que resulta cada vez más el objetivo de los villanos.
¿Por qué Java como un vector de ataque?
Su penetrabilidad y el número desmedido de versiones anticuadas corriendo ahí afuera en los ordenadores están haciendo de Java el sombrero negro de elección de los hackers últimamente. Los números lo dicen todo: unos 80 sistemas empresariales corren versiones desactualizadas, no parcheadas de Java, de acuerdo con los datos de Qualys. Y desde el tercer cuarto de 2010, Microsoft ha detectado o bloqueado aproximadamente 6.9 millones de intentos de exploits sobre Java cada cuarto, con un total de 27.5 millones de intentos de exploits durante ese período de 12 meses.
En general, 3 mil millones de dispositivos usan Java en el mundo, y 80% de los navegadores lo hacen. Mientras tanto, algunos usuarios muy conocedores de seguridad lo están deshabilitando o desinstalándolo totalmente como precaución.
Desarrolladores de la ampliamente popular herramienta de prueba de penetración de Matasploit de código abierto, agregaron esta semana un nuevo módulo para el más reciente ataque Java que abusa de una vulnerabilidad recientemente parcheada en la implementación de Java de Oracle, Rhino. La falla en Oracle Java SE JDK y JRE 7 y 6 actualización 27 y versiones anteriores, que inicialmente fue anunciada por investigadores aquí y aquí y después fue rápidamente fructificada dentro de un kit de crimeware cladestino, como descubrió el bloguero Brian Krebs en su sitio web. Krebs On Security reportó que el ataque también estaba siendo corrido dentro del kit de crimeware BlackHole.
«Java está donde quiera, y nadie lo actualiza adecuadamente«, asevera HD Moore, creador y arquitecto jefe para Metasploit y CSO en Rapid7. «Muy pocas empresas lo actualizan en sus ordenadores.»
«Oracle si ofrece una función de auto-actualización para Java, pero requiere privilegios de administración para que el usuario del ordenador la utilice, algo que la mayoría de las empresas no permite«, dice Moore.
El director de Computación Confiable de Microsoft, Tim Rains, a inicios de esta semana apuntaba en un post que los fallos parcheaos en el software Java de Oracle han estado bajo asedio por meses. «Las vulnerabilidades en el software Java de Oracle han estado siendo atacadas a una escala relativamente grande por varios meses y, como ya mencionaba, las actualizaciones de seguridad para estas vulnerabilidades han estado disponibles por algún tiempo,» dice Rains. «Si usted no ha actualizado Java en su entorno recientemente, debería evaluar los riesgos presentes. Entre otras cosas, las organizaciones necesitan estar conscientes de que pueden tener múltiples versiones de Java corriendo«, dice.
La falla de Java de Oracle, que fue parcheada por Oracle el mes pasado, básicamente permite a un applet de Java correr código arbitrario fuera de la caja de arena de Java. Moore de Rapid7 dice que la llamada Java Rhino Exploit (que trabaja sobre múltiples plataformas, incluyendo Windows, iOS y Linux) ocurre en segundo plano, de manera inconsciente para el usuario golpeado por el exploit. Interesante, Linux es ahora mismo más vulnerable al ataque. «Oracle lo parcheó, Apple exigió una actualización a nivel de software. Pero la mayoría de los vendedores proveedores de Linux
no han exigido actualizaciones«, dice Moore.
Esto es típicamente utilizado como una primera etapa en un ataque multi-etapas, usado para descargar un archivo ejecutable o intalando un bot.
Wolfgang Kandek, CTO de Qualyx, dice tenier Metasploit soportando el último exploit ayudaría a elevar la conciencia sobre el peligro de apps de Java desactualizadas. «Los beneficios de tenerlo en Metasploit es que los chicos buenos pueden demostrar como este [ataque] funciona«, dice él.
Muchas de las organizaciones encontradas corriendo apps de Java desactualizadas en los datos de los clientes de Qualys eran grandes empresas, dice. «Existe la tendencia de no haber buenos procesos para parchear Java. Él vuela bajo el radar«, dice.
———– Y aquí termina el artículo.
Sin lugar a dudas, esto tiene mucho que ver con lo que antes le comentábamos… o sea, respecto a que Canonical dejará de ofrecer Java de Oracle en sus repositorios (Ubuntu, Kubuntu, Xubuntu, etc), pues obviamente, si Oracle no permite que se incluyan actualizaciones, no vale la pena, pues el usuario sería demasiado vulnerable a ataques como los antes mencionados.
En fin, ¿qué piensas al respecto? 😉
Saludos
PD: Justamente ayer estaba leyendo un tutorial sobre que es posible instalar Linux en mi Nokia N70, aún no decido hacerlo LOL!!!
Yo llevo tiempo usando IcedTea (OpenJDK, libre) y casi siempre lo tengo desactivado porque apenas le doy uso…
Yo tengo poco, cosa de 3 meses usando OpenJDK, no sabía exactamente la falla de seguridad en java, lo cambié sólo para ver como trabajaba libreoffice 😛
Sé que esto es casi offtopic pero… Linux en Nokia? Como? Si puedo quitarle la m___ de symbian a mi 5800 estaría encantado!
¿sabías que Symbian es primo-hermano de Linux? 😀
En fin, aún no leo suficiente información sobre esto de Linux en Nokia… no te preocupes, cuando encuentre alguna información decente te paso los links 😉
KZKG^Gaara… no te vayas a molestar conmigo pero… hay algunos errores en la traducción, por ejemplo:
1.-«…are making Java the black hat hacker’s choice of late» debe ser «.. últimamente hacen de Java la elección de los hackers malintencionados»
2.- «Vendor» en inglés también significa «Proveedor» («Supplier») por lo cual la frase «But most Linux vendors…» queda sin problema alguno «Pero la mayoría de los proveedores de Linux…»
Saludos
Nah para nada 😀
De veras que no me molesta, no soy traductor profesional ni mucho menos LOL!!!
Lo arreglo ahora mismo 😉
De veras, muchísimas gracias, entender el inglés no me cuesta trabajo, lo que me resulta un poco complejo es escribirlo y ordenarlo en español 😀
Saludos
🙂
A mí me sucede lo mismo con el español; las frases que contienen expresiones locales me cuesta trabajo entenderlas. Aunque ya son las menos algunas aun se me escapan.
«Black hat hacker» es una expresión usada para designar al hacker mal intencionado y ciertamente es una camorra traducirlo al español.
Saludos y un fuerte abrazo
No sé pero yo soy consciente de que «conciente» no aparece en el diccionario de la RAE.
Además tenemos a vendedores en Linux como tito Mark y sus secuaces
A ver… mi laptop es Made in China, pero el control de CALIDAD es serie B de HP, o sea… en China se fabrican los componentes (mano de obra barata…) pero quien decide qué componentes son suficientemente buenos es el fabricante 😉
“Oracle si ofrece una función de auto-actualización para Java, pero requiere privilegios de administración para que el usuario del ordenador la utilice, algo que la mayoría de las empresas no permite“
“Existe la tendencia de no haber buenos procesos para parchear Java.“
Entonces el problema no es Java sino que los usuarios no tenemos la costumbre de actualizarlo ¿es así?
Sinceramente el problema de java es tan la seguridad, si lo comparamos con flash es 20 veces más seguro java, el problema es que es un lenguaje que se arrastra. es sexy para aprender pero es algo pesadillo LOL!
queria decir *no es tan la seguridad*
Muchas veces que tampoco se nos dá la posibilidad, Oracle con sus restricciones.
Por mi parte estoy usando OpenJDK, y hasta ahora sin quejas 🙂
Intenté en Debian Squeeze desinstalar los sun-java y volver a los default, y se armaba una… que al final renuncie.
la verdad es que java era una buena alternativa hace ya tiempo ahora solo es muchos problemas 🙁
una de las dependecias en mexico es SAT y IMSS que afuerza tienes q usar versiones muy viejas de mas de 3 años por q si no puedes entrar a sus portales.
Yo trabajo sobre todo con usuarios administrativos y nunca actualizan nada y utilizan java para muchos programas gubernamentales y que requieren forzosamente ciertas versiones que incluyen grandes vulnerabilidades, esto también es un tema que instituciones como el IMSS y el SAT en México deberían tomas con mayor seriedad y mantener sus aplicaciones y no seguir distribuyendo software creado en 2004 o anterior con semejantes problemas
Pues yo he utilizado por bastante tiempo la sun-java y la verdad es que no tengo ninguna queja obteniendo los resultados que siempre he deseado e incluso llegando un poco más allá de lo convencional. La openjdk para el desarrollo pues no es algo que le recomendaría a cualquiera aunque supongo que ese es mi criterio. Saludos