Oldukça ilginç bir makale buldum, kaynak darkreading.com ve yazar Kelly Jackson Higgins. Çevirisini bırakıyorum:
Java'nın Karanlık Yüzü
Metasploit, Java siber suçluların yeni favori hedefi haline geldiğinde en son Java saldırıları için yeni modül ekler
01 Aralık 2011 | 08:08
Kelly Jackson Higgins tarafından
Karanlık Okuma
Geliştiriciler açısından çökmekte olan bir araçtır, ancak Java kötü adamlar tarafından giderek daha fazla hedef alınan birincil ve hala sıklıkla unutulan bir bilgisayar varlığı olmaya devam ediyor.
Neden bir saldırı vektörü olarak Java?
Geçilebilirliği ve bilgisayarlarda çalışan aşırı sayıda eski sürüm, Java'yı son zamanlarda bilgisayar korsanları için siyah şapka haline getiriyor. Rakamlar her şeyi söylüyor: Qualys verilerine göre yaklaşık 80 kurumsal sistem, Java'nın eski, yamalanmamış sürümlerini çalıştırıyor. Ve 2010'un üçüncü çeyreğinden bu yana Microsoft, her çeyrekte yaklaşık 6.9 milyon Java istismar girişimi tespit etti veya engelledi ve bu 27.5 aylık dönemde toplam 12 milyon istismar girişimi oldu.
Genel olarak, dünyada 3 milyar cihaz Java kullanıyor ve tarayıcıların% 80'i Java kullanıyor. Bu arada, güvenlik konusunda çok bilgili olan bazı kullanıcılar önlem olarak onu devre dışı bırakıyor veya tamamen kaldırıyor.
Yaygın olarak kullanılan açık kaynak Matasploit sızma testi aracının geliştiricileri bu hafta Oracle'ın Java uygulaması Rhino'da yakın zamanda yamalanmış bir güvenlik açığını kötüye kullanan en son Java saldırısı için yeni bir modül ekledi. Başlangıçta araştırmacılar tarafından duyurulan Oracle Java SE JDK ve JRE 7 ve 6 güncelleme 27 ve önceki sürümlerindeki kusur burada y burada ve sonra blog yazarı Brian Krebs'in keşfettiği gibi, bir yeraltı suç yazılımı setinde hızla meyve verdi web siteniz. Krebs On Security, saldırının BlackHole suç yazılımı kiti içinde de yürütüldüğünü bildirdi.
«Java istediği yerdedir ve kimse onu doğru şekilde güncellemiyor«Rapid7'de Metasploit ve CSO'nun yaratıcısı ve baş mimarı HD Moore diyor. «Çok az şirket bunu bilgisayarlarında güncelliyor.»
"Oracle, Java için bir otomatik güncelleme özelliği sunuyor, ancak bilgisayar kullanıcısının bunu kullanması için yönetici ayrıcalıkları gerektiriyor, bu da çoğu şirketin izin vermediği bir şey"Moore diyor.
Microsoft'un Trusted Computing direktörü Tim Rains, bu haftanın başlarında bir gönderide Oracle'ın Java yazılımındaki yamalı hataların aylardır kuşatma altında olduğuna dikkat çekti. «Oracle'ın Java yazılımındaki güvenlik açıkları birkaç aydır nispeten büyük bir ölçekte saldırı altındadır ve bahsettiğim gibi, bu güvenlik açıkları için güvenlik güncellemeleri bir süredir mevcuttur.»Yağmurlar diyor. «Yakın zamanda ortamınızda Java'yı güncellemediyseniz, mevcut riskleri değerlendirmelisiniz. Diğer şeylerin yanı sıra, kuruluşların birden fazla Java sürümü çalıştırabileceklerini bilmeleri gerekir.", Diyor.
Oracle'ın geçen ay Oracle tarafından yamalanan Java kusuru, temelde bir Java uygulamacığının Java sanal alanının dışında rastgele kod çalıştırmasına izin veriyor. Rapid7'den Moore, sözde Java Rhino Exploit'in (Windows, iOS ve Linux dahil olmak üzere birden çok platformda çalışan) arka planda, istismar tarafından vurulan kullanıcıya bilinçsizce gerçekleştiğini söylüyor. İlginç bir şekilde, Linux artık saldırılara karşı daha savunmasız. «Oracle bunu yamadı, Apple bir yazılım güncellemesi talep etti. Ama çoğu satıcılar Linux sağlayıcıları ?? gerekli güncellemeleri yok"Moore diyor.
Bu, genellikle çok aşamalı bir saldırıda ilk aşama olarak kullanılır, yürütülebilir bir dosyayı indirmek için veya bir bot kurarak kullanılır.
Qualyx'in CTO'su Wolfgang Kandek, en son istismarı destekleyen daha tenier Metasploit'in eski Java uygulamalarının tehlikesi konusunda farkındalık yaratmaya yardımcı olacağını söylüyor. «Metasploit'te olmanın faydaları, iyi adamların bu [saldırının] nasıl çalıştığını gösterebilmeleridir.", diyor.
Qualys'in müşteri verilerinde eski Java uygulamaları çalıştıran kuruluşların çoğu büyük şirketlerdi, diyor. «Java'ya yama uygulamak için iyi süreçlere sahip olmama eğilimi vardır. Radarın altında uçar", Diyor.
---- Ve burada makale bitiyor.
Kuşkusuz, bunun daha önce bahsettiğimiz şeyle çok ilgisi var ... yani Canonical, havuzlarında Oracle'dan Java sunmayı durduracak (Ubuntu, Kubuntu, Xubuntu, vb), tabii ki evet Kehanet güncellemelerin dahil edilmesine izin vermez, buna değmez, çünkü kullanıcı yukarıda bahsedilenler gibi saldırılara karşı çok savunmasız olacaktır.
Her neyse, bunun hakkında ne düşünüyorsun? 😉
selamlar
PD: Daha dün Nokia N70'ime Linux yüklemenin nasıl mümkün olduğuna dair bir eğitim okudum, hala LOL yapmaya karar vermedim !!!
IcedTea'yı (OpenJDK, ücretsiz) uzun süredir kullanıyorum ve neredeyse her zaman devre dışı bırakıyorum çünkü neredeyse hiç kullanmıyorum ...
OpenJDK kullanarak yaklaşık 3 ayım var, java'daki güvenlik açığını tam olarak bilmiyordum, sadece libreoffice'in nasıl çalıştığını görmek için değiştirdim 😛
Bunun neredeyse konu dışı olduğunu biliyorum ama… Nokia'da Linux? Gibi? Symbian m___'yi 5800'ümden çıkarabilirsem çok memnun olurum!
Symbian'ın Linux'un ilk kuzeni olduğunu biliyor muydunuz? 😀
Her neyse, Nokia'da bu Linux hakkında hala yeterince bilgi okumadım ... endişelenme, bazı iyi bilgiler bulduğumda sana bağlantıları vereceğim
KZKG ^ Gaara… benimle uğraşma ama… çeviride bazı hatalar var, örneğin:
1 .- «… Java'yı siyah şapka bilgisayar korsanlarının geç tercihi yapıyorlar» «.. son zamanlarda Java'yı kötü niyetli bilgisayar korsanlarının tercihi yapıyorlar»
2.- İngilizce'deki "Satıcı" aynı zamanda "Tedarikçi" ("Tedarikçi") anlamına da gelir, bu nedenle "Ancak çoğu Linux satıcısı ..." ifadesi sorunsuz kalır "Ama çoğu Linux satıcısı ..."
selamlar
Hiçbir şey için yok 😀
Bu beni gerçekten rahatsız etmiyor, ben profesyonel bir çevirmen değilim, çok daha az LOL !!!
Şimdi düzeltirim 😉
Gerçekten çok teşekkür ederim, İngilizceyi anlamak benim için zor değil, benim için biraz karmaşık olan onu yazmak ve İspanyolca olarak sipariş etmek 😀
selamlar
🙂
Aynı şey İspanyolca için de bana oluyor; Yerel ifadeler içeren ifadeleri anlamak benim için zor. En azından bazıları hala benden kaçıyor.
"Siyah şapka korsanı", kötü niyetli bilgisayar korsanını belirlemek için kullanılan bir ifadedir ve bunu İspanyolcaya çevirmek kesinlikle bir telaştır.
Selamlar ve güçlü bir kucaklama
Bilmiyorum ama RAE sözlüğünde "bilinçli" nin görünmediğinin farkındayım.
Ayrıca Tito Mark ve onun uşakları gibi Linux satıcılarımız da var
Bakalım ... dizüstü bilgisayarım Çin Malı, ancak KALİTE kontrolü HP'nin B serisidir, yani ... bileşenler Çin'de üretiliyor (ucuz işçilik ...) ancak hangi bileşenlerin yeterince iyi olduğuna karar veren üretici oluyor 😉
"Oracle, Java için bir otomatik güncelleme özelliği sunuyor, ancak bilgisayar kullanıcısının onu kullanması için yönetici ayrıcalıkları gerektiriyor ki bu, çoğu şirketin izin vermediği bir şey"
"Java'ya yama uygulamak için iyi süreçlere sahip olmama eğilimi var."
Yani sorun Java değil, kullanıcıların güncelleme alışkanlığına sahip olmaması değil mi?
Dürüst olmak gerekirse, java ile ilgili sorun o kadar güvenliktir ki, onu flash java ile karşılaştırırsak 20 kat daha güvenlidir, sorun şu ki, gezinen bir dildir. öğrenmesi seksi ama bir kabus LOL!
* O kadar güvenlik değil * demek istedim
Çoğu zaman, kısıtlamalarıyla birlikte Oracle'a da imkan verilmiyor.
Kendi adıma OpenJDK kullanıyorum ve şu ana kadar şikayetim yok 🙂
Debian Squeeze'de sun-java'yı kaldırmayı ve varsayılanlara geri dönmeyi denedim ve bir… sonunda çıktım.
gerçek şu ki, java uzun zaman önce iyi bir alternatifti, şimdi sadece çok fazla sorun var 🙁
Meksika'daki bağımlılıklardan biri SAT ve IMSS'dir, bu da 3 yıldan daha eski çok eski sürümleri kullanmanız gerektiğinden emin olmanızı sağlar, çünkü eğer portallarına giremezseniz.
Çoğunlukla idari kullanıcılarla çalışıyorum ve hiçbir şeyi güncellemiyorlar ve birçok hükümet programı için java kullanıyorlar ve büyük güvenlik açıkları içeren belirli sürümleri zorunlu kılıyorlar, bu aynı zamanda Meksika'daki IMSS ve SAT gibi kurumların daha ciddiye alması gereken bir konudur ve uygulamalarınızı koruyun ve bu tür sorunlarla 2004 veya daha önce oluşturulmuş yazılımları artık dağıtmayın
Pekala, bir süredir sun-java kullandım ve gerçek şu ki, her zaman istediğim sonuçları almaktan ve hatta gelenekselin biraz ötesine geçmekten şikayetim yok. Geliştirme için openjdk, kriterlerimin bu olduğunu düşünmeme rağmen kimseye tavsiye edebileceğim bir şey değil. Şerefe