Σοβαρές ανησυχίες από τις ΗΠΑ σχετικά με την ασφάλεια της Java

[Seitman]

H υπηρεσία Εσωτερικής Ασφάλειας των ΗΠΑ (U.S. Department of Homeland Security) προτρέπει τους χρήστες ηλεκτρονικών υπολογιστών να σταματήσουν τη χρήση της Java, ενισχύοντας έτσι τις προηγούμενες ανησυχίες και προτροπές ειδικών σε θέματα ασφαλείας προς εκατομμύρια χρηστών και επιχειρήσεων που τη χρησιμοποιούν κατά τη διάρκεια της πλοήγησης τους στο διαδίκτυο.

Οι χάκερ έχουν βρει τρόπους εκμετάλλευσης της Java για να εγκαθιστούν κακόβουλο λογισμικό που τους επιτρέπει την διάπραξη εγκλημάτων που κυμαίνονται από κλοπές ταυτοτήτων μέχρι και την μόλυνση υπολογιστών έτσι ώστε να αποτελεί μέρος ενός ad-hoc δικτύου που μπορεί να χρησιμοποιηθεί για επίθεση σε ιστοσελίδες.

"Αυτή τη στιγμή δε γνωρίζουμε κάποια αποτελεσματική λύση αυτού του προβλήματος. Αυτό αλλά και τα προηγούμενα τρωτά σημεία της Java έχουν γίνει πολλάκις στόχοι από άτομα και νέα προβλήματα της Java είναι πολύ πιθανό να ανακαλυφθούν στο μέλλον. Για την προστασία ενάντια σε αυτά τα θέματα, προτείνουμε την απενεργοποίηση της εκτέλεσης Java στα προγράμματα περιήγησης στο Web", αναφέρει το CERT (Computer Emergency Readiness Team) της υπηρεσίας Εσωτερικής Ασφάλειας σε ανακοίνωση στην ιστοσελίδα της που έγινε αργά την Πέμπτη.

Η Oracle αρνήθηκε να κάνει κάποιο σχόλιο.

Η Java είναι μια γλώσσα προγραμματισμού ηλεκτρονικών υπολογιστών που επιτρέπει στους προγραμματιστές τη συγγραφή λογισμικού χρησιμοποιώντας μόνο ένα είδους κώδικα που θα "τρέξει" σχεδόν σε οποιοδήποτε τύπο υπολογιστή, συμπεριλαμβανομένων αυτών που "τρέχουν" τα Windows της Microsoft, το OS X της Apple και Linux, ένα λειτουργικό σύστημα που χρησιμοποιείται ευρέως από εταιρείες. Οι χρήστες των υπολογιστών έχουν πρόσβαση στα προγράμματα Java μέσω modules ή plug-ins που "τρέχουν" Java σε προγράμματα περιήγησης όπως ο Internet Explorer και Firefox.

H προειδοποίηση της υπηρεσίας των ΗΠΑ σχετικά με την Java ήρθε μετά από προηγούμενες ειδοποιήσεις ειδικών ασφαλείας την Πέμπτη ότι πρόσφατα ανακαλύφθηκε νέα "τρύπα". Είναι σχετικά σπάνιο το φαινόμενο κυβερνητικές υπηρεσίες να προτρέπουν τους χρήστες να απενεργοποιήσουν πλήρως κάποιο λογισμικό για λόγους που οφείλονται σε κάποιο bug σχετικά με την ασφάλεια, ειδικότερα στην περίπτωση προγραμμάτων που χρησιμοποιούνται ευρέως, όπως η Java. Συνήθως προτείνουν τη λήψη μέτρων για τον περιορισμό του κινδύνου κάποιας επίθεσης, καθώς οι κατασκευαστές ετοιμάζουν κάποια ενημέρωση ή αποκρύπτουν το πρόβλημα μέχρι να ετοιμαστεί το update.

Τον Σεπτέμβριο, η γερμανική κυβέρνηση πρότεινε στο κοινό να σταματήσει προσωρινά τη χρήση του προγράμματος περιήγησης της Microsoft, Internet Explorer, για να δώσει χρόνο ώστε να επιδιορθωθεί θέμα ασφάλειας που τον καθιστούσε ευπαθή σε επιθέσεις.

Η υπηρεσία Εσωτερικής Ασφαλείας δήλωσε ότι οι επιτιθέμενοι μπορούν να ξεγελάσουν τα θύματά τους ώστε να επισκεφτούν κακόβουλες ιστοσελίδες που θα μολύνουν τους υπολογιστές τους με λογισμικό ικανό να εκμεταλλεύεται σφάλματα της Java. Αναφέρεται επίσης ότι κάποιος εισβολέας θα μπορούσε να μολύνει και έναν νόμιμο διαδικτυακό τόπο με το "ανέβασμα" κακόβουλου λογισμικού που θα μολύνει τους υπολογιστές των χρηστών που εμπιστεύονται την ιστοσελίδα επειδή την είχαν επισκεφθεί στο παρελθόν χωρίς να αντιμετωπίσουν κάποιο πρόβλημα. Στην ανακοίνωση αναφέρεται ότι δημιουργοί αρκετών δημοφιλών "εργαλείων", γνωστών και ως exploit kits, τα οποία χρησιμοποιούνται από τους εγκληματίες για τις επιθέσεις εναντίων των υπολογιστών, έχουν προσθέσει "λειτουργίες" για την εκμετάλλευση των πρόσφατα ανακαλυφθέντων "τρυπών" της Java για τις επιθέσεις τους.

Ειδικοί ασφαλείας παρακολουθούν στενά τα θέματα ασφαλείας που σχετίζονται με την Java μετά από ένα παρόμοιο φαινόμενο τον Αύγουστο, γεγονός που οδήγησε ορισμένους από αυτούς να προτρέπουν την χρήση της Java μόνο όταν χρειάζεται. Εκείνη την περίοδο συνιστούσαν στις επιχειρήσεις να επιτρέπουν στους εργαζόμενους τους να χρησιμοποιούν Java browser plug-ins μόνο σε περιπτώσεις όπου τα αιτήματα χρήσης Java προέρχονταν από κάποια αξιόπιστη εφαρμογή όπως το GoToMeeting της Citrix Systems Inc.

O Adam Gowdiak, ερευνητής της πολωνικής εταιρείας ασφαλείας Security Explorations, είπε ότι είχε βρει και άλλα bugs σχετιζόμενα με την ασφάλεια στην Java που εξακολουθούσαν να καθιστούν τους υπολογιστές ευάλωτους σε επιθέσεις.

H Java υπέστη και άλλο ένα πλήγμα τον Οκτώβριο, όταν η Apple ξεκίνησε να αφαιρεί τις παλιότερες εκδόσεις της Java από το πρόγραμμα περιήγησης στο internet των υπολογιστών Mac όταν οι πελάτες της εγκατέστησαν την τελευταία έκδοση του λειτουργικού συστήματος OS X. Η Apple δεν έδωσε κάποια εξήγηση για την πράξη αυτή, αλλά και οι δύο εταιρείες είχαν αρνηθεί να κάνουν κάποιο εκείνη την περίοδο.



Πηγή: Reuters

[nnn]

Το ζήτημα δείχνει να είναι πολύ σοβαρό, πριν λίγο διάβασα πως η Mozilla κάνει όλες τις εκδόσεις των Java plugins, blaclisted.

[Greenleaf]

Δεν βλέπω κάτι καινούριο, τα πιο πολλά exploits μέσω java λειτουργούσαν. Απλά τώρα βγαίνει προειδοποίηση από την κυβέρνηση των Η.Π.Α. που όντως σημαίνει κάτι. Για firefox βέβαια must have το No Script για να έχετε το κεφάλι σας ήσυχο...

[Helix]

Το ερώτημα είναι πού πάμε χωρίς java, δυστυχώς ακόμα εξαρτώμαστε απ' αυτήν, ειδικά σε όσα κινητά τρέχουν android...

[kostarcng]

Δεν βλέπω κάτι καινούριο, τα πιο πολλά exploits μέσω java λειτουργούσαν. Απλά τώρα βγαίνει προειδοποίηση από την κυβέρνηση των Η.Π.Α. που όντως σημαίνει κάτι. Για firefox βέβαια must have το No Script για να έχετε το κεφάλι σας ήσυχο...

Ευχαριστώ, μόλις το εγκατέστησα το πρόσθετο.

[tsigarid]

Η java βρίσκεται παντού, θα είναι πολύ δύσκολο να την αποκλείσουμε από τη ζωή μας. Είναι τόσο σοβαρό το θέμα που η Oracle δεν μπορεί να κλείσει; Αυτό σημαίνει ότι είναι πολλαπλά τα προβλήματα, όχι μόνο ένα.

[21706]

Σχετικό θέμα:

http://www.adslgr.com/forum/threads/...NOW?highlight=

[mrsaccess]

Το άρθρο είναι λίγο παραπλανητικό με το τρόπο που είναι γραμμένο.

Χθες ή προχθές βρέθηκε ένα νέο vulnerability στην Java το οποίο παραμένει απόρρητο (undisclosed) ή έστω άγνωστο προς το παρόν. Ταυτόχρονα κακόβουλος κώδικας που το εκμεταλλεύεται βρέθηκε σε sites με εκατοντάδες χιλιάδες επισκέπτες ημερησίως.

Επομένως το ζήτημα είναι προσωρινό και όχι γενικό ή μόνιμο με κάποιο τρόπο. Imo πολλές σελίδες το παρουσιάζουν σαν μόνιμο ή γενικότερο πρόβλημα της Java χωρίς να μπορώ να καταλάβω για ποιο λόγο. Ίσως να θέλουν να χτυπήσουν την Oracle, ίσως θέλουν να χτυπήσουν την Java, ποιος ξέρει...

[kostarcng]

Μόλις επανεγκατέστησα firefox γιατί άλλαξε αμετάκλητα η λειτουργία του και η εμφανισή του. Τώρα είναι πάλι μια χαρά ο περιηγητής ιστού, οπότε καλό το πρόσθετο για απενεργοποίηση java στον Firefox αλλά όχι για εμένα.

[deniSun]

Μόλις επανεγκατέστησα firefox γιατί άλλαξε αμετάκλητα η λειτουργία του και η εμφανισή του. Τώρα είναι πάλι μια χαρά ο περιηγητής ιστού, οπότε καλό το πρόσθετο για απενεργοποίηση java στον Firefox αλλά όχι για εμένα.

Το noscript δεν είναι μόνο γι αυτό που γράφεις αλλά για πολύ περισσότερα.
Προφανώς δεν αφιέρωσες τον χρόνο που πρέπει για να το ρυθμίσεις στα μέτρα σου.
Από θέμα προστασίας είναι το ν1 αρκεί να ξέρεις τι κάνεις.

Όσο για τα υπόλοιπα...
Οι δύο μεγάλες αρρώστιες αυτή την στιγμή στο διαδίκτυο είναι:
α) flash player
β) java/java script
Και τα δύο δεν τα χώνεψα ποτέ για πολλούς και διάφορους λόγους που αν τους αναφέρω θα ξεσπάσει πόλεμος.
Καλά θα κάνουν οι παλιοί και νέοι φιλόδοξοι developers να σταματήσουν να ασχολούνται με τις παραπάνω αηδίες και να στραφούν σε πιο αποδοτικές λύσεις που ήδη υπάρχουν.

[thodoris12]

Όσο για τα υπόλοιπα...
Οι δύο μεγάλες αρρώστιες αυτή την στιγμή στο διαδίκτυο είναι:
α) flash player
β) java/java script
Και τα δύο δεν τα χώνεψα ποτέ για πολλούς και διάφορους λόγους που αν τους αναφέρω θα ξεσπάσει πόλεμος.
Καλά θα κάνουν οι παλιοί και νέοι φιλόδοξοι developers να σταματήσουν να ασχολούνται με τις παραπάνω αηδίες και να στραφούν σε πιο αποδοτικές λύσεις που ήδη υπάρχουν.

Ποια θεωρείς μια εναλλακτική αποδοτική λύση της javascript;

[ckoul]

Οι χάκερ έχουν βρει τρόπους εκμετάλλευσης < ... > για να εγκαθιστούν κακόβουλο λογισμικό που τους επιτρέπει την διάπραξη εγκλημάτων που κυμαίνονται από κλοπές ταυτοτήτων μέχρι και την μόλυνση υπολογιστών έτσι ώστε να αποτελεί μέρος ενός ad-hoc δικτύου που μπορεί να χρησιμοποιηθεί για επίθεση σε ιστοσελίδες.

Αυτά κι αν είναι «νέα».. Μην τρελαίνεστε, όπως ειπώθηκε και προηγουμένως παροδικό κενό ασφαλείας θα είναι όπως και χιλιάδες άλλα σε όλα τα λογισμικά. Το «δράμα» ως γνωστόν πουλάει!

[21706]

Το πρόβλημα είναι στην Java, όχι στην JavaScript.

[manicx]

H Java έχει security hole. Ενώ τα Windows, οι browsers, το flash, o ΙΜ, κλπ κλπ είναι αψεγάδιαστα και δεν έχουν κανένα.

[InTranceWeTrust]

δεν την άφηνε ήσυχη την sun η oracle. Μια χαρά είμασταν