הצד האפל של ג'אווה

מצאתי מאמר די מעניין, המקור הוא darkreading.com והמחבר הוא קלי ג'קסון היגינס. אני משאיר את התרגום שלו:

הצד האפל של ג'אווה

Metasploit מוסיף מודול חדש להתקפות Java האחרונות כאשר Java הופכת למטרה המועדפת החדשה על פושעי סייבר

01 בדצמבר 2011 | 08:08
מאת קלי ג'קסון היגינס
קריאה אפלה
זה כלי דקדנטי מצד המפתחים, אבל Java זה נשאר נוכחות ראשונית ועדיין נשכחת לעתים קרובות במחשבים שממוקדים יותר ויותר על ידי נבלים.
מדוע ג'אווה כווקטור תקיפה?

יכולת החדירה שלה והמספר המופקע של הגרסאות המיושנות שרצות שם במחשבים הופכים את ג'אווה לכובע השחור שנבחר עבור האקרים בזמן האחרון. המספרים אומרים הכל: כ -80 מערכות ארגוניות מריצות גרסאות מיושנות ולא מתוקנות של Java, על פי נתוני קוואליס. ומאז הרבעון השלישי של 2010, מיקרוסופט זיהתה או חסמה כ -6.9 מיליון ניסיונות ניצול ג'אווה בכל רבעון, בסך הכל 27.5 מיליון ניסיונות ניצול במהלך אותה 12 חודשים.
בסך הכל, 3 מיליארד מכשירים משתמשים בג'אווה בעולם, ו -80% מהדפדפנים עושים זאת. בינתיים, חלק מהמשתמשים הבקיאים באבטחה משביתים או מסירים את זה לחלוטין כאמצעי זהירות.
מפתחי כלי הפתיחה המקור הפתוח הפופולרי של Matasploit הוסיפו השבוע מודול חדש למתקפת הג'אווה האחרונה שעושה שימוש לרעה בפגיעות שתוקנה לאחרונה ביישום Java של אורקל, Rhino. הפגם ב- Oracle Java SE JDK ו- JRE 7 ו- 6 מעדכן את 27 והגירסאות הקודמות, שהוכרז בתחילה על ידי החוקרים. כאן y כאן ואז יצא לפועל במהירות בערכת כלי פשע חשאית, כפי שגילה הבלוגר בריאן קרבס ב האתר שלך. Krebs On Security דיווח כי ההתקפה מתבצעת גם בתוך ערכת כלי השטיפה של BlackHole.
«ג'אווה נמצאת איפה שהיא רוצה, ואף אחד לא מעדכן אותה כמו שצריך«אומר HD מור, היוצר והארכיטקט הראשי של Metasploit ו- CSO ב- Rapid7. «מעט מאוד חברות מעדכנות את זה במחשבים שלהן.»
"אורקל אכן מציעה תכונת עדכון אוטומטי עבור Java, אך היא דורשת הרשאות ניהול כדי שמשתמש המחשב יוכל להשתמש בה, דבר שרוב החברות אינן מאפשרות"אומר מור.

מנהל מחשוב האמון של מיקרוסופט, טים ריינס, ציין בתחילת השבוע בפוסט כי תיקוני באגים בתוכנת הג'אווה של אורקל נמצאים במצור במשך חודשים. «פגיעויות בתוכנת ג'אווה של אורקל הותקפו בקנה מידה גדול יחסית מזה מספר חודשים, וכפי שציינתי, עדכוני אבטחה לפגיעות אלו היו זמינים מזה זמן.»אומר גשמים. «אם לא עדכנת את Java בסביבתך לאחרונה, עליך להעריך את הסיכונים הקיימים. בין היתר, ארגונים צריכים להיות מודעים לכך שהם יכולים להריץ מספר גרסאות של Java.", הוא אומר.

פגם הג'אווה של אורקל, שתוקן על ידי אורקל בחודש שעבר, מאפשר בעצם ליישומון ג'אווה להריץ קוד שרירותי מחוץ לארגז החול של ג'אווה. מור של Rapid7 אומר כי מה שמכונה Java Rhino Exploit (שעובד במספר פלטפורמות, כולל Windows, iOS ו- Linux) קורה ברקע, באופן לא מודע למשתמש שנפגע מהנצל. מעניין כי לינוקס חשופה יותר להתקפות כרגע. «אורקל תיקן אותה, אפל דרשה עדכון תוכנה. אבל רוב ה מוכרים ספקי לינוקס ?? לא דרוש עדכונים"אומר מור.
זה משמש בדרך כלל כשלב ראשון בהתקפה מרובת שלבים, המשמשת להורדת קובץ הפעלה או על ידי התקנת בוט.
וולפגנג קאנדק, CTO של Qualyx, אומר כי Metasploit הקנייני התומך במנצל האחרון יעזור להעלות את המודעות לגבי הסכנה שיש באפליקציות Java מיושנות. «היתרונות שיש בזה ב- Metasploit הוא שהחבר'ה הנחמדים יכולים להדגים איך [התקפה] הזו עובדת", הוא אומר.
רבים מהארגונים מצאו כי אפליקציות ג'אווה מיושנות בנתוני הלקוחות של קוואליס היו חברות גדולות, הוא אומר. «יש נטייה שלא יהיו תהליכים טובים לתיקון Java. הוא עף מתחת לרדאר", הוא אומר.

---- וכאן מסתיים המאמר.

אין ספק שזה קשור מאוד למה שהזכרנו קודם ... כלומר, לגבי מה Canonical תפסיק להציע ג'אווה מבית Oracle במאגרים שלה (אובונטו, קובונטו, Xubuntu, וכו '), ובכן ברור, כן אורקל אינו מאפשר לכלול עדכונים, לא כדאי, מכיוון שהמשתמש יהיה פגיע מדי להתקפות כמו אלה שהוזכרו לעיל.

ובכלל, מה אתה חושב על זה? 😉

לגבי

PD: רק אתמול קראתי הדרכה כיצד ניתן להתקין לינוקס במכשיר ה- Nokia N70 שלי, עדיין לא החלטתי לעשות זאת LOL !!!