Ik heb best een interessant artikel gevonden, de bron is darkreading.com en de auteur is Kelly Jackson Higgins. Ik laat de vertaling ervan achter:
De donkere kant van Java
Metasploit voegt een nieuwe module toe voor de nieuwste Java-aanvallen wanneer Java het nieuwe favoriete doelwit van cybercriminelen wordt
01 december 2011 | 08:08 uur
Door Kelly Jackson Higgins
Donkere lezing
Het is een decadente tool van ontwikkelaars, maar Java het blijft een primaire en nog steeds vaak vergeten aanwezigheid op computers die in toenemende mate het doelwit zijn van schurken.
Waarom Java als aanvalsvector?
De penetreerbaarheid en het buitensporige aantal verouderde versies dat er op computers rondloopt, maken van Java de laatste tijd de zwarte hoed bij uitstek voor hackers. De cijfers zeggen het al: volgens de gegevens van Qualys draaien ongeveer 80 bedrijfssystemen verouderde, ongepatchte versies van Java. En sinds het derde kwartaal van 2010 heeft Microsoft elk kwartaal ongeveer 6.9 miljoen Java-exploitpogingen gedetecteerd of geblokkeerd, voor een totaal van 27.5 miljoen exploitpogingen gedurende die periode van 12 maanden.
In totaal gebruiken 3 miljard apparaten Java in de wereld, en 80% van de browsers doet dat. Ondertussen schakelen sommige gebruikers met veel veiligheid het uit of verwijderen het uit voorzorg volledig.
Ontwikkelaars van de zeer populaire open source Matasploit-penetratietesttool hebben deze week een nieuwe module toegevoegd voor de nieuwste Java-aanval die misbruik maakt van een onlangs gepatchte kwetsbaarheid in de Java-implementatie van Oracle, Rhino. De fout in Oracle Java SE JDK en JRE 7 en 6 update 27 en eerdere versies, die aanvankelijk werd aangekondigd door onderzoekers hier y hier en kwam toen snel tot bloei in een clandestiene crimeware-kit, zoals blogger Brian Krebs ontdekte in uw website. Krebs On Security meldde dat de aanval ook werd uitgevoerd binnen de BlackHole crimeware-kit.
«Java is waar het maar wil, en niemand werkt het correct bij«Zegt HD Moore, bedenker en hoofdarchitect voor Metasploit en CSO bij Rapid7. «Zeer weinig bedrijven werken het bij op hun computer.»
"Oracle biedt wel een automatische updatefunctie voor Java, maar het vereist beheerdersrechten voor de computergebruiker om het te gebruiken, iets wat de meeste bedrijven niet toestaan'Zegt Moore.
Tim Rains, directeur van Trusted Computing van Microsoft, wees eerder deze week in een post erop dat herstelde bugs in de Java-software van Oracle al maanden onder vuur liggen. «Kwetsbaarheden in de Java-software van Oracle worden al enkele maanden op relatief grote schaal aangevallen en, zoals ik al zei, zijn er al enige tijd beveiligingsupdates voor deze kwetsbaarheden beschikbaar.»Zegt Rains. «Als u Java in uw omgeving niet recentelijk heeft bijgewerkt, moet u de aanwezige risico's beoordelen. Organisaties moeten zich er onder andere van bewust zijn dat ze meerdere versies van Java kunnen draaien.«Hij zegt.
De Java-fout van Oracle, die vorige maand door Oracle werd gepatcht, maakt het in feite mogelijk dat een Java-applet willekeurige code buiten de Java-sandbox uitvoert. Moore van Rapid7 zegt dat de zogenaamde Java Rhino Exploit (die op meerdere platforms werkt, waaronder Windows, iOS en Linux) op de achtergrond plaatsvindt, onbewust voor de gebruiker die door de exploit wordt getroffen. Interessant is dat Linux nu kwetsbaarder is voor aanvallen. «Oracle heeft het gepatcht, Apple eiste een software-update. Maar de meeste verkopers Linux-leveranciers... hebben geen verplichte updates'Zegt Moore.
Dit wordt meestal gebruikt als een eerste fase in een meertrapsaanval, gebruikt om een uitvoerbaar bestand te downloaden of door een bot te installeren.
Wolfgang Kandek, CTO van Qualyx, zegt dat tenier Metasploit die de nieuwste exploit ondersteunt, het bewustzijn zou helpen vergroten over het gevaar van verouderde Java-apps. «De voordelen van het op Metasploit hebben is dat de aardige jongens kunnen demonstreren hoe deze [aanval] werkt", hij zegt.
Veel van de organisaties ontdekten dat het draaien van verouderde Java-apps op de klantgegevens van Qualys grote bedrijven waren, zegt hij. «Er is een neiging om geen goede processen te hebben voor het patchen van Java. Hij vliegt onder de radar«Hij zegt.
---- En hier eindigt het artikel.
Dit heeft ongetwijfeld veel te maken met wat we eerder noemden ... dat wil zeggen, met wat Canonical stopt met het aanbieden van Java van Oracle in zijn repositories (Ubuntu, Kubuntu, Xubuntu, etc), natuurlijk, ja Oracle niet toestaat dat updates worden opgenomen, is het niet de moeite waard, aangezien de gebruiker te kwetsbaar zou zijn voor aanvallen zoals hierboven vermeld.
Hoe dan ook, wat vind je ervan? 😉
groeten
PD: Gisteren las ik een tutorial over hoe het mogelijk is om Linux op mijn Nokia N70 te installeren, ik heb nog steeds niet besloten om het te doen LOL !!!
Ik gebruik IcedTea (OpenJDK, gratis) al heel lang en ik heb het bijna altijd gedeactiveerd omdat ik het amper gebruik ...
Ik heb weinig, ongeveer 3 maanden met OpenJDK, ik wist niet precies wat de beveiligingsfout in Java was, ik heb het veranderd om te zien hoe libreoffice werkte 😛
Ik weet dat dit bijna off-topic is, maar ... Linux op Nokia? Zoals? Als ik het symbian-m___ uit mijn 5800 kan halen, zou ik heel blij zijn!
Wist je dat Symbian de neef van Linux is? 😀
Hoe dan ook, ik lees nog steeds niet genoeg informatie over deze Linux op Nokia ... maak je geen zorgen, als ik fatsoenlijke informatie vind, geef ik je de links los
KZKG ^ Gaara ... doe geen moeite, maar ... er zijn enkele fouten in de vertaling, bijvoorbeeld:
1 .- «… maken Java de laatste tijd tot de black hat hacker's keuze» zou moeten zijn «.. de laatste tijd maken ze Java de keuze van kwaadwillende hackers»
2. - "Vendor" in het Engels betekent ook "Leverancier" ("Leverancier"), dus de uitdrukking "Maar de meeste Linux-leveranciers ..." blijft zonder enig probleem "Maar de meeste Linux-leveranciers ..."
groeten
Nee voor niets 😀
Het deert me echt niet, ik ben geen professionele vertaler, laat staan LOL !!!
Ik repareer het nu 😉
Echt heel erg bedankt, Engels begrijpen is niet moeilijk voor mij, wat een beetje ingewikkeld voor mij is, is het schrijven en bestellen in het Spaans 😀
groeten
🙂
Hetzelfde overkomt mij met Spaans; Zinnen met lokale uitdrukkingen zijn voor mij moeilijk te begrijpen. Al zijn het er tenminste nog een paar die aan mij ontsnappen.
"Black hat hacker" is een uitdrukking die wordt gebruikt om de kwaadwillende hacker aan te duiden en het is zeker een gedoe om het in het Spaans te vertalen.
Groeten en een stevige knuffel
Ik weet het niet, maar ik ben me ervan bewust dat "bewust" niet voorkomt in het RAE-woordenboek.
We hebben ook Linux-leveranciers zoals Tito Mark en zijn handlangers
Eens kijken ... mijn laptop is gemaakt in China, maar de kwaliteitscontrole is de HP B-serie, dat wil zeggen ... de componenten worden in China vervaardigd (goedkope arbeidskrachten ...) maar wie beslist welke componenten goed genoeg zijn, is de fabrikant 😉
"Oracle biedt wel een automatische updatefunctie voor Java, maar het vereist beheerdersrechten voor de computergebruiker om het te gebruiken, iets wat de meeste bedrijven niet toestaan"
"Er is een neiging om geen goede processen te hebben voor het patchen van Java."
Het probleem is dus niet Java, maar dat gebruikers niet de gewoonte hebben om het bij te werken, toch?
Eerlijk gezegd is het probleem met java zo veiligheid, als we het vergelijken met flash is het 20 keer veiliger java, het probleem is dat het een taal is die kruipt. het is sexy om te leren, maar het is een nachtmerrie LOL!
Ik wilde zeggen * niet zo zeker *
Vaak krijgen we ook niet de mogelijkheid, Oracle met zijn beperkingen.
Van mijn kant gebruik ik OpenJDK, en tot nu toe geen klachten 🙂
Ik heb in Debian Squeeze geprobeerd de installatie van sun-java ongedaan te maken en terug te gaan naar de standaardinstellingen, en een… dat ik uiteindelijk stopte.
de waarheid is dat java lang geleden een goed alternatief was, nu zijn het gewoon veel problemen 🙁
Een van de afhankelijkheden in Mexico is SAT en IMSS, wat ervoor zorgt dat je zeer oude versies van meer dan 3 jaar moet gebruiken, want als je hun portals niet kunt betreden.
Ik werk voornamelijk met administratieve gebruikers en zij updaten nooit iets en ze gebruiken java voor veel overheidsprogramma's die noodzakelijkerwijs bepaalde versies vereisen die grote kwetsbaarheden bevatten, dit is ook een onderwerp dat instellingen zoals de IMSS en de SAT in Mexico serieuzer zouden moeten nemen en bewaar uw toepassingen en distribueer geen software meer die in 2004 of eerder met dergelijke problemen is gemaakt
Welnu, ik gebruik sun-java al geruime tijd en de waarheid is dat ik geen klachten heb over de resultaten die ik altijd al heb gewild en zelfs een beetje verder ga dan het conventionele. De openjdk voor ontwikkeling is niet iets dat ik iemand zou aanraden, hoewel ik veronderstel dat dat mijn criterium is. Proost