Nakon što je zloćudna aplikacija iskoristila propust u Javi koji je ispravljen proteklog ljeta ona preuzima nadzor nad sustavom putem IRC-a.

Srećom, mi ove godine znamo za problem, čisto da se pripremimo za prošlu godinu.

Ima dovoljno ljudi koji misle da su sigurni i zive u proslosti :)

moram priznati da već dugo nisam vidio tako mudro i precizno sročen naslov napisa. možda, eventualno, izbaciti ono "aplikacija"? 

zanimljivo slozena enkripcija, programer/i su se ovaj put i pobrinuli za sigurnost svoje aplikacije, ne samo za inicijalni cilj aplikacije, zanima me do kud ce dogurati dok se tu ne dogode neke promjene..

Dakle, kada se vijesti od zadnjih par mjeseci skupe na hrpu - ne vrtite Java VM na bilo kojem OS-u pod korisnikom sa root privilegijama, jer u protivnom imate jednaku rupu kao da ste na Win95 ili 98.

Krpajte redovito.

I to je to.

Što se tiče enkripcije, meni je čudno kako se nitko već prije nije sjetio toga.

...Uz aplikaciju dolazi i posebni alat Zelix koji vrši enkripciju znakovnih nizova (stringova), uz svaku klasu dolazi drugi ključ. To znači da stručnjaci koji proučavaju aplikaciju moraju dekriptirati sve znakovne nizove u aplikaciji, potrebno je analizirati sve klase kako bi se našao potrebni ključ za dekripciju...

*itu bi oni moju analizirali da je korištena malo bolja enkripcija, ali očito s razlogom nije...

E sad... ili je ovaj tekst tak sročen, ili ti informatički reketari zbilja misle da su svi toliko glupi i naivni da ih gledaju kao spasitelje...

Sudeci prema arstechnici, taj propust je pokrpan jos u 5. mj. prosle godine.

http://arstechnica.com/security/2014/01/java-based-malware-driving-ddos-botnet-infects-windows-mac-linux-devices/

Kako kaze Djuro von Prekoplotovich, dok root nema veze s pokretanjem VM-a, sve je ok.

Sto se Jave tice, najveci problem je u web Javi. Rjesenje:  Nisam primjetio da mi fali.

Sto se "enkripcije" tice, nisam siguran sto je pisac htio reci. Rijec je o "obfuscatoru" koda. Naime, kad se Java source kompajlira u bytecode, zaista je lagano dobiti source kod iz tog bytecodea bilo kojim Java decompilerom, npr. ovim. Sto cini reverzni inzinjering bolesno smjesnim. S obzirom da su napisali trojanac u Javi naravno da su se odlucili "zmuljati" kod kako do njega ne bi dosli, kako "dobra" ekipa, tako i "losa". Zelix ima vise stupnjeva "muljanja" koda. Prvi je "name obfuscation" - sva imena klasa, metoda i clanova izmjeni u glupe nazive. Drugi je "flow obfuscation" gdje pokusava izmuljati tok programa. Treci je "exception obfuscation" gdje mulja iznimke. I zadnji je taj "string encryption" gdje kriptira sve stringove u programu (dialoge, debug poruke, itd.).

Tako da mi taj zadnji odlomak toliko glupo zvuci... Ili ja nisam skuzio dobro to sto se htjelo reci.

Od svih aplikacija, engina, jezika, bilo čega što mi je instalirano na kompu najviše mrzim Javu (Adobe je vrlo blisu tome). Gluplji jezik nisam vidio, a mislim da kad bi se skupili svi članci o security probojima da bi ih pola bilo zbog Jave. Da nema banaka i njihove jave to nikad na moj komp ne bi došlo.

Jezik je sasvim u redu. Ima svojih musica, kao i svaki uostalom, ali da je glup (kako jezik moze biti glup? xD), bas i nije. Problem je JVM-u za browsere. Od srca jedan smecarskom Oracleu. Plus, kad imas ovakvu politiku firme: "Meanwhile, my company requires me and everyone at my company to run an outdated Java version so we can use an outdated third party application for a business critical purpose that doesn't work with later Java versions. To use it, we must leave some of our browser's security settings wide open. We also use other third party applications for other business critical applications and they constantly warn you about using a different (more recent but still outdated) Java version and nag you to update it. If you update it you will break the first application and get different warnings on the second program.I just blindly hope that the antivirus-ware running on my computer will recognize and block any malwares I might unwittingly download and install by loading some internet site's Java app in my insecure browser." - zabava je zagarantirana.

Pogledaj nasumično bilo koji intranet bilo koje veće firme (više od 100 ljudi) u 'rvata, naći ćeš barem jednu web aplikaciju koja je pisana u zadnje 2-3 godine a za rad se koristi ActiveX kontrola ili se izvršava ispravno jedino na IE6 endžinu.

Što se tiče web Jave, browseri bi barem sada trebali biti dovoljno "pametni" da dopuste blokiranje nekog plugina na svim stranicama osim na onoj gdje se to eksplicitno dopusti.

Naime, na sličan način koristim Operu (blokiranje iritantnih javascripta/reklama gotovo svugdje).

"Write once, infect anywhere."

Smatram da je Java solidan jezik kojem se nazalost dogodio Oracle... ali ova izjava je za 10 :)

Pitanje je koliko je 0-day exploita i koliko su problem stare inačice Jave i nebriga. Mnogo toga se ispravi, ali ogroman broj korisnika se ne pridržava pravila koja vrijede za svaku platformu: redovito krpanje.

Da, ali zašto moram toliko krpati? Ja ne znam niti jednu drugu plaformu koju treba toliko krpati. Java je jedini program na Macu koji je sposoban srušiti OS i to vrlo redovito radi.

Mislim da je u tome podebljanom problem, a ne u samoj činjenici koja se veže za Javu. Ja ne znam puno toga, ali to ne smatram dobrom podlogom da popljujem nešto na osnovu neznanja. Koristim Javu aktivno i nikad mi se nije srušio ni Mac OS ni Windows niti jedan od Linuxa (RHEL, SELS, Ubuntu) koje koristim. Danas svatko programira i misli da to zna i ne čudi da se problemi događaju.

Da, Java se dosta krpa, ali to je najrašireniji VM, prostire se na svim zamislivim platformama i to je relativno očekivano. Krpa se i Windows svakog utorka, redovitije od Jave. Krpa se svašta redovito.

Instaliraj Zabinu aplikaciju na Mac OS pa ćeš vidjeti.

Točno tako. ;-)

Na stranu VM (web uglavnom) koji se moze exploitati, ovo je izmedu ostalog jedan od cestih uzroka problema.

Daj molim te isprogramiraj nešto u nekom drugom jeziku i sruši cijeli OS. Nema šanse. Samo glupa Java može srušiti cijeli komp i ništa drugo. Druge aplikacije mogu puknuti, srušiti se, ali samo Java može srušiti komp. Kakve to veze onda ima s programiranjem?

Zoki care, ne volim aplikacije napisane u Java-i, i ukoliko mogu, izbjegavam iste. Spore i trome. IMHO naravno.

No opet, nemas pojma o ovoj tematici vjeruj mi tako da poprilicno pretjerujes :)

:) kad vidim da postoji update jave, znam da će biti frke. neka računala ne smiju imati noviju verziju, jer ne mogu radit s eporeznom, drugi s finom, treći moraju, jer ne radi s jednim  bankama dok druge banke zahtjevaju drugu verziju, četvrti ne rade s 64-bitnom ... ma luda kuća. jedino rješenje, koje nije rješenje je zabrana updatea

http://d24w6bsrhbeh9d.cloudfront.net/photo/aD0898Z_460sa.gif

Kako je to problem Jave?

Isto kao što je problem dečka koji obećava otvaranje docx dokumenata u uredskoj aplikaciji ;)

http://www.bug.hr/ostav/linux--decko-koji-obecava/96639.aspx

Otprilike tako. :)