מצאתי מאמר די מעניין, המקור הוא darkreading.com והמחבר הוא קלי ג'קסון היגינס. אני משאיר את התרגום שלו:
הצד האפל של ג'אווה
Metasploit מוסיף מודול חדש להתקפות Java האחרונות כאשר Java הופכת למטרה המועדפת החדשה על פושעי סייבר
01 בדצמבר 2011 | 08:08
מאת קלי ג'קסון היגינס
קריאה אפלה
זה כלי דקדנטי מצד המפתחים, אבל Java זה נשאר נוכחות ראשונית ועדיין נשכחת לעתים קרובות במחשבים שממוקדים יותר ויותר על ידי נבלים.
מדוע ג'אווה כווקטור תקיפה?
יכולת החדירה שלה והמספר המופקע של הגרסאות המיושנות שרצות שם במחשבים הופכים את ג'אווה לכובע השחור שנבחר עבור האקרים בזמן האחרון. המספרים אומרים הכל: כ -80 מערכות ארגוניות מריצות גרסאות מיושנות ולא מתוקנות של Java, על פי נתוני קוואליס. ומאז הרבעון השלישי של 2010, מיקרוסופט זיהתה או חסמה כ -6.9 מיליון ניסיונות ניצול ג'אווה בכל רבעון, בסך הכל 27.5 מיליון ניסיונות ניצול במהלך אותה 12 חודשים.
בסך הכל, 3 מיליארד מכשירים משתמשים בג'אווה בעולם, ו -80% מהדפדפנים עושים זאת. בינתיים, חלק מהמשתמשים הבקיאים באבטחה משביתים או מסירים את זה לחלוטין כאמצעי זהירות.
מפתחי כלי הפתיחה המקור הפתוח הפופולרי של Matasploit הוסיפו השבוע מודול חדש למתקפת הג'אווה האחרונה שעושה שימוש לרעה בפגיעות שתוקנה לאחרונה ביישום Java של אורקל, Rhino. הפגם ב- Oracle Java SE JDK ו- JRE 7 ו- 6 מעדכן את 27 והגירסאות הקודמות, שהוכרז בתחילה על ידי החוקרים. כאן y כאן ואז יצא לפועל במהירות בערכת כלי פשע חשאית, כפי שגילה הבלוגר בריאן קרבס ב האתר שלך. Krebs On Security דיווח כי ההתקפה מתבצעת גם בתוך ערכת כלי השטיפה של BlackHole.
«ג'אווה נמצאת איפה שהיא רוצה, ואף אחד לא מעדכן אותה כמו שצריך«אומר HD מור, היוצר והארכיטקט הראשי של Metasploit ו- CSO ב- Rapid7. «מעט מאוד חברות מעדכנות את זה במחשבים שלהן.»
"אורקל אכן מציעה תכונת עדכון אוטומטי עבור Java, אך היא דורשת הרשאות ניהול כדי שמשתמש המחשב יוכל להשתמש בה, דבר שרוב החברות אינן מאפשרות"אומר מור.
מנהל מחשוב האמון של מיקרוסופט, טים ריינס, ציין בתחילת השבוע בפוסט כי תיקוני באגים בתוכנת הג'אווה של אורקל נמצאים במצור במשך חודשים. «פגיעויות בתוכנת ג'אווה של אורקל הותקפו בקנה מידה גדול יחסית מזה מספר חודשים, וכפי שציינתי, עדכוני אבטחה לפגיעות אלו היו זמינים מזה זמן.»אומר גשמים. «אם לא עדכנת את Java בסביבתך לאחרונה, עליך להעריך את הסיכונים הקיימים. בין היתר, ארגונים צריכים להיות מודעים לכך שהם יכולים להריץ מספר גרסאות של Java.", הוא אומר.
פגם הג'אווה של אורקל, שתוקן על ידי אורקל בחודש שעבר, מאפשר בעצם ליישומון ג'אווה להריץ קוד שרירותי מחוץ לארגז החול של ג'אווה. מור של Rapid7 אומר כי מה שמכונה Java Rhino Exploit (שעובד במספר פלטפורמות, כולל Windows, iOS ו- Linux) קורה ברקע, באופן לא מודע למשתמש שנפגע מהנצל. מעניין כי לינוקס חשופה יותר להתקפות כרגע. «אורקל תיקן אותה, אפל דרשה עדכון תוכנה. אבל רוב ה מוכרים ספקי לינוקס ?? לא דרוש עדכונים"אומר מור.
זה משמש בדרך כלל כשלב ראשון בהתקפה מרובת שלבים, המשמשת להורדת קובץ הפעלה או על ידי התקנת בוט.
וולפגנג קאנדק, CTO של Qualyx, אומר כי Metasploit הקנייני התומך במנצל האחרון יעזור להעלות את המודעות לגבי הסכנה שיש באפליקציות Java מיושנות. «היתרונות שיש בזה ב- Metasploit הוא שהחבר'ה הנחמדים יכולים להדגים איך [התקפה] הזו עובדת", הוא אומר.
רבים מהארגונים מצאו כי אפליקציות ג'אווה מיושנות בנתוני הלקוחות של קוואליס היו חברות גדולות, הוא אומר. «יש נטייה שלא יהיו תהליכים טובים לתיקון Java. הוא עף מתחת לרדאר", הוא אומר.
---- וכאן מסתיים המאמר.
אין ספק שזה קשור מאוד למה שהזכרנו קודם ... כלומר, לגבי מה Canonical תפסיק להציע ג'אווה מבית Oracle במאגרים שלה (אובונטו, קובונטו, Xubuntu, וכו '), ובכן ברור, כן אורקל אינו מאפשר לכלול עדכונים, לא כדאי, מכיוון שהמשתמש יהיה פגיע מדי להתקפות כמו אלה שהוזכרו לעיל.
ובכלל, מה אתה חושב על זה? 😉
לגבי
PD: רק אתמול קראתי הדרכה כיצד ניתן להתקין לינוקס במכשיר ה- Nokia N70 שלי, עדיין לא החלטתי לעשות זאת LOL !!!
אני משתמש ב- IcedTea (OpenJDK, בחינם) במשך זמן רב וכמעט תמיד אני משבית אותו כי אני כמעט לא משתמש בו ...
יש לי מעט, בערך 3 חודשים להשתמש ב- OpenJDK, לא ידעתי בדיוק את פגם האבטחה בג'אווה, שיניתי את זה רק כדי לראות איך עובדת libreoffice 😛
אני יודע שזה כמעט אופטימי אבל ... לינוקס בנוקיה? כפי ש? אם אוכל להוציא את ה- m___ מה- 5800, הייתי שמח!
האם ידעת שסימביאן הוא בן דודו הראשון של לינוקס? 😀
בכל מקרה, אני עדיין לא קורא מספיק מידע על לינוקס בנוקיה ... אל תדאגי, כשאמצא קצת מידע הגון אתן לך את הקישורים 😉
KZKG ^ גאארה ... אל תטרח לי אבל ... יש כמה שגיאות בתרגום, למשל:
1.- «... הופכים את ג'אווה לבחירת ההאקר של הכובע השחור למאוחר» אמורה להיות «.. לאחרונה הם הופכים את ג'אווה לבחירה של האקרים זדוניים»
2.- "ספק" באנגלית פירושו גם "ספק" ("ספק") ולכן הביטוי "אבל רוב ספקי לינוקס ..." נשאר ללא שום בעיה "אבל רוב ספקי לינוקס ..."
לגבי
לא סתם 😀
זה ממש לא מפריע לי, אני לא מתרגם מקצועי, הרבה פחות LOL !!!
אני מתקן את זה עכשיו 😉
באמת, תודה רבה, הבנת אנגלית לא קשה לי, מה שקצת מורכב עבורי זה לכתוב אותה ולהזמין אותה בספרדית 😀
לגבי
???
אותו דבר קורה לי עם ספרדית; משפטים המכילים ביטויים מקומיים קשה לי להבין. למרות שהם לפחות חלקם עדיין בורחים ממני.
"האקר כובע שחור" הוא ביטוי המשמש לייעוד ההאקר הזדוני ובהחלט מהומה לתרגם אותו לספרדית.
ברכות וחיבוק חזק
אני לא יודע, אבל אני מודע לכך ש"מודע "אינו מופיע במילון RAE.
יש לנו גם ספקי לינוקס כמו טיטו מארק ועושיו
בואו נראה ... המחשב הנייד שלי מיוצר בסין, אבל ה- QC הוא סדרת B של HP, כלומר ... הרכיבים מיוצרים בסין (עבודה זולה ...) אבל מי שמחליט אילו רכיבים טובים מספיק הוא היצרן 😉
"אורקל אמנם מציעה תכונה לעדכון אוטומטי עבור Java, אך היא דורשת הרשאות ניהול כדי שמשתמש המחשב יוכל להשתמש בה, דבר שרוב החברות אינן מאפשרות".
"יש נטייה שלא יהיו תהליכים טובים לתיקון ג'אווה."
אז הבעיה היא לא ג'אווה אלא שמשתמשים לא נוהגים לעדכן אותה, נכון?
בכנות הבעיה בג'אווה היא כל כך ביטחונית, אם נשווה אותה לג'אווה פלאש מאובטחת פי 20, הבעיה היא שזו שפה שזוחלת. זה סקסי ללמוד אבל זה סיוט LOL!
רציתי לומר * לא כל כך ביטחון *
פעמים רבות גם לא ניתנת לנו האפשרות, אורקל עם מגבלותיה.
מצדי אני משתמש ב- OpenJDK, ועד כה אין תלונות 🙂
ניסיתי בסחיטה של דביאן להסיר את ההתקנה של ה- sun-java ולחזור לברירות המחדל, ו ... בסופו של דבר הפסקתי.
האמת היא שג'אווה הייתה אלטרנטיבה טובה מזמן עכשיו זה פשוט הרבה בעיות 🙁
אחת התלות במקסיקו היא SAT ו- IMSS שמוודא שעליך להשתמש בגרסאות ישנות מאוד של יותר מ -3 שנים, כי אם אינך יכול להיכנס לפורטלים שלהם.
אני עובד בעיקר עם משתמשים אדמיניסטרטיביים והם אף פעם לא מעדכנים שום דבר והם משתמשים בג'אווה לתוכניות ממשלתיות רבות ודורשים בהכרח גרסאות מסוימות הכוללות נקודות תורפה גדולות, זה גם נושא שמוסדות כמו ה- IMSS וה- SAT במקסיקו צריכים לקחת ברצינות רבה יותר ולשמור על היישומים שלך ולא להפיץ עוד תוכנות שנוצרו בשנת 2004 או קודם לכן עם בעיות כאלה
ובכן, השתמשתי ב- sun-java די הרבה זמן והאמת היא שאין לי תלונות שמקבלות את התוצאות שתמיד רציתי ואפילו עוברות קצת מעבר למקובל. ה- openjdk לפיתוח אינו דבר שהייתי ממליץ לאף אחד אם כי אני מניח שזה הקריטריונים שלי. בברכה