Zloćudna Java aplikacija napada Mac i Linux sustav

Nakon što je zloćudna aplikacija iskoristila propust u Javi koji je ispravljen proteklog ljeta ona preuzima nadzor nad sustavom putem IRC-a.

Srećom, mi ove godine znamo za problem, čisto da se pripremimo za prošlu godinu.

moram priznati da već dugo nisam vidio tako mudro i precizno sročen naslov napisa. možda, eventualno, izbaciti ono "aplikacija"? 

Dakle, kada se vijesti od zadnjih par mjeseci skupe na hrpu - ne vrtite Java VM na bilo kojem OS-u pod korisnikom sa root privilegijama, jer u protivnom imate jednaku rupu kao da ste na Win95 ili 98.

Krpajte redovito.

I to je to.

Što se tiče enkripcije, meni je čudno kako se nitko već prije nije sjetio toga.

Sudeci prema arstechnici, taj propust je pokrpan jos u 5. mj. prosle godine.

http://arstechnica.com/security/2014/01/java-based-malware-driving-ddos-botnet-infects-windows-mac-linux-devices/

Kako kaze Djuro von Prekoplotovich, dok root nema veze s pokretanjem VM-a, sve je ok.

Sto se Jave tice, najveci problem je u web Javi. Rjesenje:

Sto se "enkripcije" tice, nisam siguran sto je pisac htio reci. Rijec je o "obfuscatoru" koda. Naime, kad se Java source kompajlira u bytecode, zaista je lagano dobiti source kod iz tog bytecodea bilo kojim Java decompilerom, npr. ovim. Sto cini reverzni inzinjering bolesno smjesnim. S obzirom da su napisali trojanac u Javi naravno da su se odlucili "zmuljati" kod kako do njega ne bi dosli, kako "dobra" ekipa, tako i "losa". Zelix ima vise stupnjeva "muljanja" koda. Prvi je "name obfuscation" - sva imena klasa, metoda i clanova izmjeni u glupe nazive. Drugi je "flow obfuscation" gdje pokusava izmuljati tok programa. Treci je "exception obfuscation" gdje mulja iznimke. I zadnji je taj "string encryption" gdje kriptira sve stringove u programu (dialoge, debug poruke, itd.).

Tako da mi taj zadnji odlomak toliko glupo zvuci... Ili ja nisam skuzio dobro to sto se htjelo reci.

Jezik je sasvim u redu. Ima svojih musica, kao i svaki uostalom, ali da je glup (kako jezik moze biti glup? xD), bas i nije. Problem je JVM-u za browsere. Od srca jedan smecarskom Oracleu. Plus, kad imas ovakvu politiku firme: "Meanwhile, my company requires me and everyone at my company to run an outdated Java version so we can use an outdated third party application for a business critical purpose that doesn't work with later Java versions. To use it, we must leave some of our browser's security settings wide open. We also use other third party applications for other business critical applications and they constantly warn you about using a different (more recent but still outdated) Java version and nag you to update it. If you update it you will break the first application and get different warnings on the second program.I just blindly hope that the antivirus-ware running on my computer will recognize and block any malwares I might unwittingly download and install by loading some internet site's Java app in my insecure browser." - zabava je zagarantirana.

"Write once, infect anywhere."

Pitanje je koliko je 0-day exploita i koliko su problem stare inačice Jave i nebriga. Mnogo toga se ispravi, ali ogroman broj korisnika se ne pridržava pravila koja vrijede za svaku platformu: redovito krpanje.

Mislim da je u tome podebljanom problem, a ne u samoj činjenici koja se veže za Javu. Ja ne znam puno toga, ali to ne smatram dobrom podlogom da popljujem nešto na osnovu neznanja. Koristim Javu aktivno i nikad mi se nije srušio ni Mac OS ni Windows niti jedan od Linuxa (RHEL, SELS, Ubuntu) koje koristim. Danas svatko programira i misli da to zna i ne čudi da se problemi događaju.

Da, Java se dosta krpa, ali to je najrašireniji VM, prostire se na svim zamislivim platformama i to je relativno očekivano. Krpa se i Windows svakog utorka, redovitije od Jave. Krpa se svašta redovito.

Točno tako. ;-)

Daj molim te isprogramiraj nešto u nekom drugom jeziku i sruši cijeli OS. Nema šanse. Samo glupa Java može srušiti cijeli komp i ništa drugo. Druge aplikacije mogu puknuti, srušiti se, ali samo Java može srušiti komp. Kakve to veze onda ima s programiranjem?

:) kad vidim da postoji update jave, znam da će biti frke. neka računala ne smiju imati noviju verziju, jer ne mogu radit s eporeznom, drugi s finom, treći moraju, jer ne radi s jednim  bankama dok druge banke zahtjevaju drugu verziju, četvrti ne rade s 64-bitnom ... ma luda kuća. jedino rješenje, koje nije rješenje je zabrana updatea

http://d24w6bsrhbeh9d.cloudfront.net/photo/aD0898Z_460sa.gif

Isto kao što je problem dečka koji obećava otvaranje docx dokumenata u uredskoj aplikaciji ;)

http://www.bug.hr/ostav/linux--decko-koji-obecava/96639.aspx