Ho trovato un articolo piuttosto interessante, la fonte è darkreading.com e l'autore è Kelly Jackson Higgins. Lascio la traduzione:
Il lato oscuro di Java
Metasploit aggiunge un nuovo modulo per gli ultimi attacchi Java quando Java diventa il nuovo bersaglio preferito dei criminali informatici
01 dicembre 2011 | 08:08
Di Kelly Jackson Higgins
Lettura oscura
È uno strumento decadente da parte degli sviluppatori, ma Java rimane una presenza primaria e ancora spesso dimenticata sui computer che è sempre più l'obiettivo dei cattivi.
Perché Java come vettore di attacco?
La sua penetrabilità e il numero eccessivo di versioni obsolete in circolazione sui computer stanno rendendo Java il cappello nero preferito dagli hacker negli ultimi tempi. I numeri dicono tutto: circa 80 sistemi aziendali utilizzano versioni obsolete e prive di patch di Java, secondo i dati di Qualys. E dal terzo trimestre del 2010, Microsoft ha rilevato o bloccato circa 6.9 milioni di tentativi di exploit Java ogni trimestre, per un totale di 27.5 milioni di tentativi di exploit durante quel periodo di 12 mesi.
Complessivamente, 3 miliardi di dispositivi utilizzano Java nel mondo e l'80% dei browser lo fa. Nel frattempo, alcuni utenti molto esperti di sicurezza lo stanno disabilitando o disinstallando del tutto per precauzione.
Questa settimana gli sviluppatori del popolare strumento open source Matasploit di penetration testing hanno aggiunto un nuovo modulo per l'ultimo attacco Java che abusa di una vulnerabilità recentemente corretta nell'implementazione Java di Oracle, Rhino. Il difetto in Oracle Java SE JDK e JRE 7 e 6 aggiornamento 27 e versioni precedenti, inizialmente annunciato dai ricercatori qui y qui e poi si è rapidamente realizzato in un kit di crimeware clandestino, come ha scoperto il blogger Brian Krebs in il tuo sito web. Krebs On Security ha riferito che l'attacco è stato eseguito anche all'interno del kit del crimeware BlackHole.
«Java è dove vuole e nessuno lo aggiorna correttamente«Afferma HD Moore, creatore e capo architetto di Metasploit e CSO di Rapid7. «Pochissime aziende lo aggiornano sui propri computer.»
"Oracle offre una funzione di aggiornamento automatico per Java, ma richiede privilegi amministrativi per l'utente del computer per utilizzarlo, cosa che la maggior parte delle aziende non consente"Dice Moore.
Il direttore di Trusted Computing di Microsoft, Tim Rains, all'inizio di questa settimana ha sottolineato in un post che i bug corretti nel software Java di Oracle sono sotto assedio da mesi. «Le vulnerabilità nel software Java di Oracle sono state attaccate su scala relativamente ampia per diversi mesi e, come ho detto, gli aggiornamenti di sicurezza per queste vulnerabilità sono disponibili da tempo.»Dice Rains. «Se non hai aggiornato Java nel tuo ambiente di recente, dovresti valutare i rischi presenti. Tra le altre cose, le organizzazioni devono essere consapevoli del fatto che possono avere più versioni di Java in esecuzione.", Lui dice.
Il difetto Java di Oracle, che è stato corretto da Oracle il mese scorso, consente fondamentalmente a un'applet Java di eseguire codice arbitrario al di fuori della sandbox Java. Moore di Rapid7 afferma che il cosiddetto Java Rhino Exploit (che funziona su più piattaforme, tra cui Windows, iOS e Linux) avviene in background, inconscio dell'utente colpito dall'exploit. È interessante notare che Linux è più vulnerabile agli attacchi in questo momento. «Oracle lo ha patchato, Apple ha richiesto un aggiornamento software. Ma la maggior parte dei file vendedores Fornitori di Linux ?? non hanno richiesto aggiornamenti"Dice Moore.
Questo è in genere utilizzato come prima fase di un attacco in più fasi, utilizzato per scaricare un file eseguibile o installando un bot.
Wolfgang Kandek, CTO di Qualyx, afferma che il tenier Metasploit che supporta l'ultimo exploit aiuterebbe ad aumentare la consapevolezza sul pericolo delle app Java obsolete. «Il vantaggio di averlo su Metasploit è che i bravi ragazzi possono dimostrare come funziona questo [attacco]", lui dice.
Molte delle organizzazioni hanno scoperto che eseguivano app Java obsolete sui dati dei clienti di Qualys erano grandi aziende, afferma. «C'è la tendenza a non avere buoni processi per applicare patch a Java. Vola sotto il radar", Lui dice.
---- E qui finisce l'articolo.
Senza dubbio, questo ha molto a che fare con ciò che abbiamo menzionato prima ... cioè, riguardo a cosa Canonical smetterà di offrire Java da Oracle nei suoi repository (Ubuntu, Kubuntu, Xubuntu, ecc.), beh ovviamente, sì Oracle non consente l'inclusione di aggiornamenti, non ne vale la pena, poiché l'utente sarebbe troppo vulnerabile ad attacchi come quelli sopra menzionati.
Ad ogni modo, cosa ne pensi? 😉
saluti
PD: Proprio ieri stavo leggendo un tutorial su come è possibile installare Linux sul mio Nokia N70, non ho ancora deciso di farlo LOL !!!
Uso IcedTea (OpenJDK, gratuito) da molto tempo e quasi sempre l'ho disabilitato perché quasi non lo uso ...
Ho poco, circa 3 mesi usando OpenJDK, non conoscevo esattamente il difetto di sicurezza in java, l'ho cambiato solo per vedere come funzionava libreoffice 😛
So che questo è quasi offtopico ma ... Linux su Nokia? Come? Se riesco a togliere il Symbian m___ dal mio 5800 sarei felicissimo!
Sapevi che Symbian è il primo cugino di Linux? 😀
Ad ogni modo, non leggo ancora abbastanza informazioni su questo Linux su Nokia ... non preoccuparti, quando troverò alcune informazioni decenti ti darò i link 😉
KZKG ^ Gaara ... non preoccuparti di me ma ... ci sono alcuni errori nella traduzione, ad esempio:
1 .- «... stanno facendo di Java la scelta degli hacker black hat negli ultimi tempi» dovrebbe essere «.. ultimamente fanno di Java la scelta degli hacker maligni»
2.- "Fornitore" in inglese significa anche "Fornitore" ("Fornitore") quindi la frase "Ma la maggior parte dei fornitori di Linux ..." rimane senza problemi "Ma la maggior parte dei fornitori di Linux ..."
saluti
Nah per niente 😀
Non mi disturba davvero, non sono un traduttore professionista, tanto meno LOL !!!
Lo aggiusto adesso 😉
Davvero, grazie mille, capire l'inglese non è difficile per me, quello che è un po 'complesso per me è scriverlo e ordinarlo in spagnolo 😀
saluti
🙂
La stessa cosa accade a me con lo spagnolo; Le frasi contenenti espressioni locali sono difficili da capire per me. Anche se almeno alcuni mi sfuggono ancora.
"Black hat hacker" è un'espressione usata per designare l'hacker dannoso ed è certamente un polverone tradurlo in spagnolo.
Saluti e un forte abbraccio
Non lo so, ma sono consapevole che "cosciente" non compare nel dizionario RAE.
Abbiamo anche fornitori di Linux come Tito Mark e i suoi scagnozzi
Vediamo ... il mio laptop è Made in China, ma il controllo QUALITY è della serie B di HP, cioè ... i componenti sono fabbricati in Cina (manodopera a basso costo ...) ma chi decide quali componenti sono abbastanza buoni è il produttore 😉
"Oracle offre una funzione di aggiornamento automatico per Java, ma richiede privilegi amministrativi per l'utente del computer per utilizzarlo, cosa che la maggior parte delle aziende non consente"
"C'è la tendenza a non avere buoni processi per applicare patch a Java".
Quindi il problema non è Java ma che gli utenti non hanno l'abitudine di aggiornarlo, vero?
Onestamente il problema con java è così la sicurezza, se lo confrontiamo con flash java è 20 volte più sicuro, il problema è che è un linguaggio che striscia. è sexy da imparare ma è un incubo LOL!
Volevo dire * non così sicuro *
Molte volte non ci viene data nemmeno la possibilità, Oracle con le sue restrizioni.
Da parte mia sto usando OpenJDK, e finora nessuna lamentela 🙂
Ho provato in Debian Squeeze a disinstallare sun-java e tornare a quelli di default, e un… che alla fine ho chiuso.
la verità è che Java era una buona alternativa molto tempo fa, ora ci sono solo molti problemi 🙁
Una delle dipendenze in Messico è SAT e IMSS, che ti assicurano di utilizzare versioni molto vecchie di più di 3 anni, perché se non puoi entrare nei loro portali.
Lavoro principalmente con utenti amministrativi e non aggiornano mai nulla e usano java per molti programmi governativi e che richiedono necessariamente alcune versioni che includono grandi vulnerabilità, anche questo è un argomento che istituzioni come l'IMSS e il SAT in Messico dovrebbero prendere più seriamente e conservare le applicazioni e non distribuire più software creato nel 2004 o in precedenza con tali problemi
Bene, ho usato sun-java per un bel po 'di tempo e la verità è che non mi lamento di ottenere i risultati che ho sempre desiderato e anche di andare un po' oltre il convenzionale. L'openjdk per lo sviluppo non è qualcosa che consiglierei a nessuno anche se suppongo che questo sia il mio criterio. Saluti