Βρήκα ένα αρκετά ενδιαφέρον άρθρο, η πηγή είναι darkreading.com και ο συγγραφέας είναι Kelly Jackson Higgins. Αφήνω τη μετάφραση του:
Η σκοτεινή πλευρά της Java
Το Metasploit προσθέτει νέα ενότητα για τις τελευταίες επιθέσεις Java όταν η Java γίνεται ο νέος αγαπημένος στόχος εγκληματιών στον κυβερνοχώρο
01 Δεκεμβρίου 2011 | 08:08 ΜΜ
Από την Kelly Jackson Higgins
Σκοτεινή ανάγνωση
Είναι ένα παρακμιακό εργαλείο από την πλευρά των προγραμματιστών, αλλά Java παραμένει μια πρωταρχική και συχνά ξεχασμένη παρουσία σε υπολογιστές που στοχεύει όλο και περισσότερο από κακοποιούς.
Γιατί η Java ως φορέας επίθεσης;
Η διαπερατότητά του και ο υπερβολικός αριθμός των ξεπερασμένων εκδόσεων που εκτελούνται εκεί σε υπολογιστές κάνουν την Java το μαύρο καπέλο επιλογής για τους χάκερ τελευταία. Οι αριθμοί το λένε όλα: Περίπου 80 εταιρικά συστήματα διαθέτουν ξεπερασμένες, μη αντιστοιχισμένες εκδόσεις Java, σύμφωνα με τα δεδομένα της Qualys. Και από το τρίτο τρίμηνο του 2010, η Microsoft έχει εντοπίσει ή μπλοκάρει περίπου 6.9 εκατομμύρια προσπάθειες εκμετάλλευσης Java κάθε τρίμηνο, με συνολικά 27.5 εκατομμύρια προσπάθειες εκμετάλλευσης κατά τη διάρκεια αυτής της περιόδου 12 μηνών.
Συνολικά, 3 δισεκατομμύρια συσκευές χρησιμοποιούν Java στον κόσμο και το 80% των προγραμμάτων περιήγησης χρησιμοποιούν. Εν τω μεταξύ, ορισμένοι χρήστες που γνωρίζουν την ασφάλεια απενεργοποιούν ή απεγκαθιστούν πλήρως ως προφύλαξη.
Οι προγραμματιστές του ευρέως δημοφιλούς εργαλείου δοκιμών διείσδυσης Matasploit ανοιχτού κώδικα αυτή την εβδομάδα πρόσθεσαν μια νέα ενότητα για την τελευταία επίθεση Java που κάνει κατάχρηση μιας πρόσφατα διορθωμένης ευπάθειας στην εφαρμογή Java της Oracle, Rhino. Το ελάττωμα στο Oracle Java SE JDK και JRE 7 και 6 ενημέρωση 27 και παλαιότερες εκδόσεις, η οποία ανακοινώθηκε αρχικά από ερευνητές Aquí y Aquí και στη συνέχεια γρήγορα καρποφόρησε σε ένα κρυφό κιτ crimeware, όπως ανακάλυψε ο blogger Brian Krebs την ιστοσελίδα σας. Το Krebs On Security ανέφερε ότι η επίθεση διεξήχθη επίσης στο κιτ λογισμικού BlackHole.
«Η Java είναι όπου θέλει και κανείς δεν την ενημερώνει σωστά«Λέει ο HD Moore, δημιουργός και αρχιτέκτονας του Metasploit και του CSO στο Rapid7. «Πολύ λίγες εταιρείες το ενημερώνουν στους υπολογιστές τους.»
«Η Oracle προσφέρει μια δυνατότητα αυτόματης ενημέρωσης για την Java, αλλά απαιτεί δικαιώματα διαχειριστή για τη χρήση του χρήστη του υπολογιστή, κάτι που οι περισσότερες εταιρείες δεν επιτρέπουν«Λέει ο Μουρ.
Ο διευθυντής της Microsoft Trusted Computing, Tim Rains, νωρίτερα αυτή την εβδομάδα επισήμανε σε μια δημοσίευση ότι τα διορθωμένα σφάλματα στο λογισμικό Java της Oracle βρίσκονται σε πολιορκία για μήνες. «Οι ευπάθειες στο λογισμικό Java της Oracle δέχονται επίθεση σε σχετικά μεγάλη κλίμακα εδώ και αρκετούς μήνες και, όπως ανέφερα, οι ενημερώσεις ασφαλείας για αυτές τις ευπάθειες ήταν διαθέσιμες για αρκετό καιρό.»Λέει Βροχές. «Εάν δεν έχετε ενημερώσει πρόσφατα το Java στο περιβάλλον σας, θα πρέπει να αξιολογήσετε τους κινδύνους που υπάρχουν. Μεταξύ άλλων, οι οργανισμοί πρέπει να γνωρίζουν ότι μπορούν να έχουν πολλές εκδόσεις Java.", Αυτος λεει.
Το ελάττωμα Java της Oracle, το οποίο επιδιορθώθηκε από την Oracle τον περασμένο μήνα, ουσιαστικά επιτρέπει σε μια μικροεφαρμογή Java να εκτελεί αυθαίρετο κώδικα εκτός του Java sandbox. Το Rapid7's Moore λέει ότι το λεγόμενο Java Rhino Exploit (το οποίο λειτουργεί σε πολλές πλατφόρμες, συμπεριλαμβανομένων των Windows, iOS και Linux) εμφανίζεται στο παρασκήνιο, ασυνείδητο για τον χρήστη που επλήγη από το exploit. Είναι ενδιαφέρον ότι το Linux είναι πιο ευάλωτο σε επίθεση αυτή τη στιγμή. «Η Oracle το διόρθωσε, η Apple ζήτησε ενημέρωση λογισμικού Αλλά τα περισσότερα πωλητές Οι προμηθευτές Linux…δεν έχουν υποχρεωτικές ενημερώσεις«Λέει ο Μουρ.
Αυτό χρησιμοποιείται συνήθως ως πρώτο στάδιο σε μια επίθεση πολλών σταδίων, χρησιμοποιείται για τη λήψη ενός εκτελέσιμου αρχείου ή με την εγκατάσταση ενός bot.
Ο Wolfgang Kandek, CTO της Qualyx, λέει ότι το Tenas Metasploit που υποστηρίζει την τελευταία εκμετάλλευση θα συμβάλει στην ευαισθητοποίηση σχετικά με τον κίνδυνο των ξεπερασμένων εφαρμογών Java. «Τα οφέλη από τη χρήση του στο Metasploit είναι ότι τα ωραία παιδιά μπορούν να αποδείξουν πώς λειτουργεί αυτή η [επίθεση]", αυτος λεει.
Πολλοί από τους οργανισμούς που διαπίστωσαν ότι χρησιμοποιούν ξεπερασμένες εφαρμογές Java στα δεδομένα πελατών της Qualys ήταν μεγάλες εταιρείες, λέει. «Υπάρχει μια τάση να μην έχετε καλές διαδικασίες για την επιδιόρθωση Java. Πετά κάτω από το ραντάρ", Αυτος λεει.
---- Και εδώ τελειώνει το άρθρο.
Αναμφίβολα, αυτό έχει να κάνει με αυτό που αναφέραμε προηγουμένως ... δηλαδή σχετικά με το τι Η Canonical θα σταματήσει να προσφέρει Java από την Oracle στα αποθετήρια της (Ubuntu, Kubuntu, Xubuntu, κλπ), προφανώς, ναι μαντείο δεν επιτρέπει την ενσωμάτωση ενημερώσεων, δεν αξίζει τον κόπο, καθώς ο χρήστης θα ήταν πολύ ευάλωτος σε επιθέσεις όπως αυτές που αναφέρονται παραπάνω.
Τέλος πάντων, τι πιστεύετε για αυτό; 😉
αφορά
PD: Μόλις χθες διάβασα ένα σεμινάριο για το πώς είναι δυνατό να εγκαταστήσω το Linux στο Nokia N70 μου, ακόμα δεν έχω αποφασίσει να το κάνω LOL !!!
Χρησιμοποιώ το IcedTea (OpenJDK, δωρεάν) για μεγάλο χρονικό διάστημα και σχεδόν πάντα το απενεργοποιώ γιατί δεν το χρησιμοποιώ ...
Έχω λίγο, περίπου 3 μήνες χρησιμοποιώντας το OpenJDK, δεν ήξερα ακριβώς το ελάττωμα ασφαλείας στην Java, το άλλαξα μόνο για να δω πώς λειτούργησε το libreoffice 😛
Ξέρω ότι αυτό είναι σχεδόν offtopic, αλλά… Linux στο Nokia; Οπως και? Αν μπορώ να βγάλω το symbian m___ από το 5800 μου θα ήμουν χαρούμενος!
Γνωρίζατε ότι το Symbian είναι ο πρώτος ξάδελφος του Linux; 😀
Τέλος πάντων, ακόμα δεν διαβάζω αρκετές πληροφορίες σχετικά με αυτό το Linux στη Nokia ... μην ανησυχείτε, όταν θα βρω κάποιες αξιοπρεπείς πληροφορίες θα σας δώσω τους συνδέσμους
KZKG ^ Gaara… μην με ενοχλείς αλλά… υπάρχουν κάποια λάθη στη μετάφραση, για παράδειγμα:
1 .- «… κάνουν την Java την επιλογή του black hat hacker αργά» θα πρέπει να είναι «… πρόσφατα κάνουν την Java την επιλογή κακόβουλων χάκερ»
2.- "Vendor" στα Αγγλικά σημαίνει επίσης "Προμηθευτής" ("Προμηθευτής"), έτσι η φράση "Αλλά οι περισσότεροι προμηθευτές Linux ..." παραμένει χωρίς κανένα πρόβλημα "Αλλά οι περισσότεροι προμηθευτές Linux ..."
αφορά
Όχι για τίποτα 😀
Δεν με ενοχλεί πραγματικά, δεν είμαι επαγγελματίας μεταφραστής, πολύ λιγότερο LOL !!!
Το διορθώνω τώρα 😉
Πραγματικά, σας ευχαριστώ πολύ, η κατανόηση των αγγλικών δεν είναι δύσκολη για μένα, αυτό που είναι λίγο περίπλοκο για μένα είναι να το γράψω και να το παραγγείλετε στα ισπανικά 😀
αφορά
????
Το ίδιο συμβαίνει και με τα Ισπανικά. Οι φράσεις που περιέχουν τοπικές εκφράσεις είναι δύσκολο να καταλάβω. Αν και τουλάχιστον μερικοί μου ξεφεύγουν ακόμα.
Το "Black hat hacker" είναι μια έκφραση που χρησιμοποιείται για τον χαρακτηρισμό του κακόβουλου χάκερ και είναι σίγουρα φασαρία η μετάφρασή του στα ισπανικά.
Χαιρετισμούς και μια δυνατή αγκαλιά
Δεν ξέρω, αλλά γνωρίζω ότι το "συνειδητό" δεν εμφανίζεται στο λεξικό RAE.
Έχουμε επίσης προμηθευτές Linux όπως ο Τίτο Μάρκ και οι συνεργάτες του
Ας δούμε… ο φορητός μου υπολογιστής είναι κατασκευασμένος στην Κίνα, αλλά ο έλεγχος ΠΟΙΟΤΗΤΑΣ είναι η σειρά Β της HP, δηλαδή… τα εξαρτήματα κατασκευάζονται στην Κίνα (φθηνή εργασία…), αλλά ποιος αποφασίζει ποια εξαρτήματα είναι αρκετά καλά είναι ο κατασκευαστής 😉
"Η Oracle προσφέρει μια δυνατότητα αυτόματης ενημέρωσης για την Java, αλλά απαιτεί δικαιώματα διαχειριστή για τη χρήση του χρήστη του υπολογιστή, κάτι που οι περισσότερες εταιρείες δεν επιτρέπουν"
"Υπάρχει μια τάση να μην έχουμε καλές διαδικασίες για την επιδιόρθωση Java."
Άρα το πρόβλημα δεν είναι η Java, αλλά ότι οι χρήστες δεν έχουν τη συνήθεια να την ενημερώνουν, έτσι;
Ειλικρινά, το πρόβλημα με το java είναι τόσο ασφάλεια, αν το συγκρίνουμε με το flash java είναι 20 φορές πιο ασφαλές, το πρόβλημα είναι ότι είναι μια γλώσσα που ανιχνεύει. είναι σέξι να μάθεις αλλά είναι ένας εφιάλτης LOL!
Ήθελα να πω * όχι τόσο ασφάλεια *
Πολλές φορές δεν μας δίνεται ούτε η δυνατότητα, Oracle με τους περιορισμούς της.
Από την πλευρά μου χρησιμοποιώ το OpenJDK και μέχρι στιγμής δεν υπάρχουν παράπονα 🙂
Προσπάθησα στο Debian Squeeze να απεγκαταστήσω το sun-java και να επιστρέψω στις προεπιλεγμένες, και… που τελικά σταμάτησα.
η αλήθεια είναι ότι η java ήταν μια καλή εναλλακτική λύση εδώ και πολύ καιρό τώρα είναι απλά πολλά προβλήματα 🙁
Μία από τις εξαρτήσεις στο Μεξικό είναι το SAT και το IMSS, το οποίο διασφαλίζει ότι πρέπει να χρησιμοποιήσετε πολύ παλιές εκδόσεις άνω των 3 ετών, γιατί αν δεν μπορείτε να εισέλθετε στις πύλες τους.
Δουλεύω ως επί το πλείστον με διοικητικούς χρήστες και δεν ενημερώνουν ποτέ τίποτα και χρησιμοποιούν java για πολλά κυβερνητικά προγράμματα και που απαιτούν απαραίτητα ορισμένες εκδόσεις που περιλαμβάνουν μεγάλες ευπάθειες, αυτό είναι επίσης ένα θέμα που τα ιδρύματα όπως το IMSS και το SAT στο Μεξικό πρέπει να λάβουν πιο σοβαρά υπόψη και διατηρήστε τις εφαρμογές σας και μην διανείμετε πλέον λογισμικό που δημιουργήθηκε το 2004 ή νωρίτερα με τέτοια προβλήματα
Λοιπόν, έχω χρησιμοποιήσει το sun-java για αρκετό καιρό και η αλήθεια είναι ότι δεν έχω κανένα παράπονο να παίρνω τα αποτελέσματα που πάντα ήθελα και μάλιστα να προχωρήσω λίγο πέρα από το συμβατικό. Το Openjdk για ανάπτυξη δεν είναι κάτι που θα συνιστούσα σε κανέναν, αν και υποθέτω ότι αυτό είναι το κριτήριό μου. Στην υγειά σας