Olen löytänyt varsin mielenkiintoisen artikkelin, lähde on darkreading.com ja kirjoittaja on Kelly Jackson Higgins. Jätän sen käännöksen:
Jaavan pimeä puoli
Metasploit lisää uuden moduulin uusimpiin Java-hyökkäyksiin, kun Javasta tulee verkkorikollisten uusi suosikkikohde
01 joulukuu 2011 | 08:08
Kirjailija: Kelly Jackson Higgins
Tumma lukeminen
Se on kehittäjien dekadentti työkalu, mutta Jaava se on edelleen ensisijainen ja yhä usein unohdettu tietokoneiden läsnäolo, johon roistot kohdistavat yhä enemmän.
Miksi Java hyökkäysvektorina?
Sen tunkeutuvuus ja vanhentuneiden versioiden kohtuuton määrä tietokoneissa on tekemässä Javasta viime aikoina valitsemansa hakkereiden mustan hatun. Numerot kertovat kaiken: Noin 80 yritysjärjestelmää käyttää vanhentuneita, korjaamattomia Java-versioita Qualysin tietojen mukaan. Ja vuoden 2010 kolmannesta neljänneksestä lähtien Microsoft on havainnut tai estänyt noin 6.9 miljoonaa Java-hyväksikäyttöyritystä joka neljännes, ja yhteensä 27.5 miljoonaa yritystä kyseisen 12 kuukauden jakson aikana.
Kaiken kaikkiaan 3 miljardia laitetta käyttää Java-sovellusta maailmassa, ja 80% selaimista käyttää sitä. Samaan aikaan jotkut erittäin tietoturvalliset käyttäjät poistavat sen käytöstä tai poistavat sen kokonaan varotoimenpiteenä.
Tällä viikolla laajalti suositun avoimen lähdekoodin Matasploit-tunkeutumistyökalun kehittäjät lisäsivät uuden moduulin viimeisimmälle Java-hyökkäykselle, joka käyttää väärin Oraclen Java-toteutuksessa äskettäin korjattua haavoittuvuutta, Rhinoa. Oracle Java SE JDK: n ja JRE 7: n ja 6: n päivityksen 27 ja aiempien versioiden virhe, josta tutkijat alun perin ilmoittivat täällä y täällä ja sitten toteutui nopeasti maanalaisessa rikossarjassa, kuten bloggaaja Brian Krebs löysi verkkosivustollesi. Krebs On Security kertoi, että hyökkäystä suoritettiin myös BlackHole-rikossarjassa.
«Java on missä tahansa, eikä kukaan päivitä sitä kunnolla«HD Moore, Metasploitin ja CSO: n luoja ja pääarkkitehti Rapid7: ssä. «Hyvin harvat yritykset päivittävät sen tietokoneellaan.»
"Oracle tarjoaa Java-päivitysominaisuuden, mutta se vaatii järjestelmänvalvojan oikeudet tietokoneen käyttäjälle, jota useimmat yritykset eivät salli."Moore sanoo.
Microsoftin luotetun tietojenkäsittelyn johtaja Tim Rains kertoi aiemmin tällä viikolla viestissä, että Oraclen Java-ohjelmiston korjattavia vikoja on ollut piiritetty kuukausien ajan. «Oraclen Java-ohjelmiston haavoittuvuudet ovat olleet hyökkäyksissä suhteellisen laajamittaisesti useita kuukausia, ja kuten mainitsin, näiden haavoittuvuuksien tietoturvapäivitykset ovat olleet käytettävissä jo jonkin aikaa.»Sanoi sateita. «Jos et ole päivittänyt Java-ympäristöäsi äskettäin, sinun on arvioitava olemassa olevat riskit. Muun muassa organisaatioiden on oltava tietoisia siitä, että niillä voi olla useita Java-versioita.«Hän sanoo.
Oraclen Java-virhe, jonka Oracle korjasi viime kuussa, antaa Java-sovelman pohjimmiltaan mielivaltaisen koodin suorittamisen Java-hiekkalaatikon ulkopuolella. Rapid7: n Moore kertoo, että ns. Java Rhino Exploit (joka toimii useilla alustoilla, mukaan lukien Windows, iOS ja Linux) esiintyy taustalla, tajuton siitä käyttäjälle, jota hyväksikäyttö osuu. Mielenkiintoista on, että Linux on nyt alttiimpi hyökkäyksille. «Oracle korjasi sen, Apple vaati ohjelmistopäivitystä. Mutta suurin osa myyjät Linux-palveluntarjoajat? eivät ole vaatineet päivityksiä"Moore sanoo.
Tätä käytetään tyypillisesti monivaiheisen hyökkäyksen ensimmäisenä vaiheena, jota käytetään suoritettavan tiedoston lataamiseen tai botin asentamiseen.
Qualyxin teknologiajohtaja Wolfgang Kandek sanoo, että uusinta hyödyntämistä tukeva tenier Metasploit auttaisi lisäämään tietoisuutta vanhentuneiden Java-sovellusten vaarasta. «Metasploitin hyödyt ovat, että mukavat kaverit voivat osoittaa, kuinka tämä [hyökkäys] toimii", hän sanoo.
Monet organisaatiot havaitsivat käyttävänsä vanhentuneita Java-sovelluksia Qualysin asiakastiedoissa suuria yrityksiä, hän sanoo. «Javan korjaamiseen on taipumus olla käyttämättä hyviä prosesseja. Hän lentää tutkan alla«Hän sanoo.
---- Ja tässä artikkeli päättyy.
Epäilemättä tällä on paljon tekemistä sen kanssa, jonka mainitsimme aiemmin ... ts. Mitä Canonical lopettaa Java-palvelun tarjoamisen Oraclesta arkistoissaan (Ubuntu, Kubuntu, Xubuntu, jne.), tietysti kyllä oraakkeli ei salli päivitysten sisällyttämistä, se ei ole sen arvoinen, koska käyttäjä olisi liian alttiina yllä mainituille hyökkäyksille.
Joka tapauksessa, mitä mieltä olet siitä? 😉
terveiset
PD: Juuri eilen luin opetusohjelman siitä, miten Linux voidaan asentaa Nokia N70: een, en ole vieläkään päättänyt tehdä sitä LOL !!!
Olen käyttänyt IcedTeaa (OpenJDK, ilmainen) pitkään ja minulla on melkein aina se pois käytöstä, koska tuskin käytän sitä ...
Minulla on vähän, noin 3 kuukautta OpenJDK: n käytössä, en tiennyt tarkalleen Java-tietoturva-aukkoa, muutin sen vain nähdäksesi, kuinka libreoffice toimi 😛
Tiedän, että tämä on melkein offtopic, mutta… Linux Nokialla? Kuten? Jos voin ottaa symbian m___ pois 5800: sta, olisin iloinen!
Tiesitkö, että Symbian on Linuxin ensimmäinen serkku? 😀
Joka tapauksessa en silti lue tarpeeksi tietoa tästä Linuxista Nokialla ... älä huoli, kun löydän kunnollista tietoa, annan sinulle linkit 😉
KZKG ^ Gaara ... älä häiritse minua, mutta ... käännöksessä on joitain virheitä, esimerkiksi:
1 .- «… tekevät Javasta mustahattujen hakkereiden myöhäisen valinnan» pitäisi olla «.. viime aikoina he tekevät Javasta haittaohjelmien hakkerit»
2.- "Toimittaja" tarkoittaa englanniksi myös "Toimittaja" ("Toimittaja"), joten lause "Mutta useimmat Linux-toimittajat ..." pysyy ongelmitta "Mutta useimmat Linux-toimittajat ..."
terveiset
Ei mitään 😀
Se ei todellakaan häiritse minua, en ole ammattikääntäjä, vielä vähemmän LOL !!!
Korjan sen juuri nyt 😉
Todella, kiitos paljon, englannin ymmärtäminen ei ole minulle vaikeaa, mikä on minulle hieman monimutkaista, kirjoitan sen ja tilaan sen espanjaksi 😀
terveiset
🙂
Sama tapahtuu minulle espanjan kanssa; Lausekkeita, jotka sisältävät paikallisia ilmaisuja, on minulle vaikea ymmärtää. Vaikka ainakin jotkut pakenevatkin minua.
"Musta hattu hakkeri" on ilmaus, jota käytetään osoittamaan haitallinen hakkeri, ja sen kääntäminen espanjaksi on varmasti melu.
Terveisiä ja vahva halaus
En tiedä, mutta olen tietoinen siitä, että "tietoinen" ei näy RAE-sanakirjassa.
Meillä on myös Linux-toimittajia, kuten Tito Mark ja hänen kätensä
Katsotaanpa ... kannettava tietokone on valmistettu Kiinassa, mutta LAADUN säädin on HP: n B-sarja, toisin sanoen ... komponentit valmistetaan Kiinassa (halpa työvoima ...), mutta kuka päättää, mitkä komponentit ovat tarpeeksi hyviä, on valmistaja 😉
"Oracle tarjoaa Java-päivitysominaisuuden, mutta se vaatii järjestelmänvalvojan oikeudet tietokoneen käyttäjälle, jota useimmat yritykset eivät salli"
"Javan korjaamiseen ei ole hyviä prosesseja."
Joten ongelma ei ole Java, mutta että käyttäjillä ei ole tapaa päivittää sitä, vai mitä?
Rehellisesti, java-ongelmana on turvallisuus, jos verrataan sitä flashiin, se on 20 kertaa turvallisempi java, ongelmana on, että se on indeksointikieli. on seksikäs oppia, mutta se on painajainen LOL!
Halusin sanoa * ei niin turvallisuutta *
Monesti meille ei myöskään anneta mahdollisuutta, Oracle sen rajoituksilla.
Omasta puolestani käytän OpenJDK: ta, eikä toistaiseksi ole valituksia 🙂
Yritin Debian Squeeze -ohjelmassa poistaa sun-jaavan asennuksen ja palata oletusarvoihin, ja… lopulta lopetin.
totuus on, että java oli hyvä vaihtoehto kauan sitten, nyt se on vain paljon ongelmia 🙁
Yksi Meksikon riippuvuuksista on SAT ja IMSS, mikä varmistaa, että sinun on käytettävä hyvin vanhoja versioita yli kolmesta vuodesta, koska jos et pääse heidän portaaleihinsa.
Työskentelen enimmäkseen hallintokäyttäjien kanssa, eivätkä he koskaan päivitä mitään, ja he käyttävät jaavaa monissa hallitusohjelmissa ja jotka edellyttävät välttämättä tiettyjä versioita, jotka sisältävät suuria haavoittuvuuksia. Tämä on myös aihe, jonka Meksikon IMSS: n ja SAT: n tulisi ottaa vakavammin ja säilytä sovelluksesi ja älä enää jaa vuonna 2004 tai aikaisemmin luotuja ohjelmistoja tällaisilla ongelmilla
No, olen käyttänyt sun-jaavaa jo jonkin aikaa, ja totuus on, että minulla ei ole valituksia siitä, että saisin tuloksia, joita olen aina halunnut ja edes menen hieman tavanomaista pidemmälle. Kehittämisen openjdk ei ole sellainen, jota suosittelisin kenellekään, vaikka oletan, että se on kriteerejäni. Kippis