Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Mozna jsem divnej, ale nepochopim, kde by se mohla vzit Java na 1,1 miliarde desktopu, nebo dokonce primo v prohlizecich, kde by tahle chyba samozrejme vadila. Ja mel za to, ze Java na webu byl modni vystrelek konce minulyho stoleti a zhynulo to nejpozdeji spolecne s Javou od Microsoftu. :)
No vidíte a právě takový uživatel jako vy, který ani neví, že má JAVU ve svém počítači je ideálním cílem útoku.
Javu využívají třeba internetová bankovnictví.
Mě vždy dostane, když vyjde nová opravená verze javy a int. bankovnictví Komerční banky ještě poměrně dlouhou dobu tvrdohlavě vyžaduje starší děravou verzi a s novější opravenou odmítá pracovat.
jj přesně tak to je, bohužel toto chování bylo i dlouho dobu na servis24 od CS. Na druhou stranu je chápu, je to hodně pohodlné využívat bezpečnostní sytém, který je už defakto hotový a stačí ho přizpůsobit interním požadavkům společnosti. Než vytvářet systém od začátku jako to třeba dělala ČSOB s ITskou, ale to je úplně jiná debata.
Nevím o tom, že by Servis24 kdy používal Javu. Je to přesně obráceně, fungovalo to vždy bez JRE (S24 používám už od začátků, ještě v dobách HW tokenů). Jiná věc byla to, že vývojáři "nepodporovali" novější verze prohlížečů (ty ale bez potíží fungovaly).
servis24 nikdy! javu nepouzival!
Zrovna KB je typický příklad, jak se e-banking nemá dělat - kromě návodů, které kdysi povolovaly nepodepsané ActiveX komponenty pro celý internet (!!!) namísto toho, aby správně zařadily sajtu do trusted zone, jsou jejich alotria s Javou typický příklad, jak se to dělat nemá a proč není vhodné se spoléhat na komponenty běžící na PC uživatele.
K bance, jejíž internetové bankovnictví vyžaduje jakýkoli plugin (tím spíš Javu) a nefunguje to tedy v jakémkoli samostatném moderním prohližeči, bych nikdy nepřešel.
... proto to chce banku, kterou programujou matfyzáci... :)
:-)))) To by mohl být skutečně zajímavý sociálně - technicko - obchodní experiment.
Bohužel praxe je taková, že rozhodující šéfové potřebují alibi, nechtějí nést zodpovědnost. Alibi získáte tak, že realizaci zadání svěříte dodavateli, který vše hezky naslibuje na mnoha lejstrech, zaplatíte značnou částku v níž je zahrnuto dost peněz pro případ průseru a jede se ... pak samozřejmě následují nějaké testy, opravy chyb a když už to trvá moc dlouho, tak se vše nasadí do provozu :-) Není moc šancí v tom dělat převratné změny. Z pohledu zákazníka je mnohem snazší, rychlejší a bezpečnější se přesunout k jiné - lépe vyhovující - bance, než doufat v nápravu.
Trosku vedle. :) Javu v pocitaci ted sice mam, protoze kdyz jsem si nedavno zacal hrat s programovanim pro Android, tak to bez ni dost dobre nejde. Java plugin v prohlizeci ale samozrejme nemam, nechybel mi mnoho let predtim a byl by mi uplne stejne nanic i ted. Akorat bych ted diky nemu mohl neco veselyho chytit, a to se vyplati. ;) Ze Javu pouzivaly nektery banky, to vim. Jen me prekvapuje, ze to prezilo az do dneska. Marne premyslim, jakou to ma vyhodu oproti reseni bezicimu v kazdym prohlizeci, ktery nepozaduje nic extra navic.
Každý, kdo má javu na svém počítači, se to rychle dozví, protože ten krám žere systémové prostředky nechutným způsobem i když ji zrovna žádná aplikace nepoužívá, proto ji já na svém počítači nemám a nikdy mít nebudu. Java je mrtvola.
Pokud vím, tak java mi nic nežere, když ji zrovna nic nepoužívá. Ale asi to chce vypnout nějaké zrychlené spouštění nebo tak něco :)
Re: "se to rychle dozví, protože ten krám žere systémové prostředky nechutným způsobem" Nemylis si to s Flashom? ;-)
Chvíli jsem hledal, ale ten patch jsem nenašel. Ukáže mi někdo co tam ten člověk opravil? Díky.
Ne. :-)
neviem, ale teraz mi vyhodilo update na verziu 7 update 9, riesi tu chybu ci nie? ci je tato verzia uz dost stara?
Možná by lidi, co nerozumí vývoji velkých věcí neměli moc mudrovat do toho jak to ti, co tomu rozumí, dělají. Pokud se vám to nelíbí, udělejte si nějakou opensource javu, třeba Kavu, a dělejte si tam patche do aleluja.
BTW co má společného díra v jave s internetovým bankovnictvím v jave? Pokud budu mít kompromitovaný počítač, tak je snad jedno, jaký systém pro internetové bankovnictví používám. Navíc jen blázen má své soukromé internetové bankovnictví bez separátního potvrzovacího kanálu (sms apod.).
Pardon, ale to není omluvou pro děravý SW, to si ani MS nedovolí (svého času vydal patch mimo pořadí).
Jde o to, že pokud máte internetové bankovnictví s javou, nemůžete se zbavit javy a v důsledku toho se můžete stát obětí útoku skrze javu.
Tak sice sám IB, které vyžaduje javu (nebo cokoli speciélního) nemám, ale obecně do IB lezu prostě přes jiný browser / v jiném nastavení, než pro běžné brouzdání. Přijde mi to jako normální - ale asi jsem v menšině, koukám...
To jen poukazuje na to, jak nevěříš čistotě svého PC ;). Věřím, že by mě tu hodně lidí upálilo, kdybych řekl, že do IB lezu v normálním browseru, ve kterém dělám vše ostatní, a ještě k tomu nepoužívám žádný antivir :).
Jistě, technicky zdatnější nebo informovaní uživatelé se zaříděj a ten zbytek? Z principu se mi nelíbí, že nekorektní chování velkých firem musí řešit koncový uživatel nějakou obezličkou a navíc tu selhává i doporučené chování pro laiky (aktualizovat SW a OS a můžete být v klidu).
Takze ak Ti cez deravu javu nalezie do pocitaca bordel cez jeden prehliadac a prelustruje Ti cele PC vratane toho "bezpecneho" prehliadaca myslis si, ze si v pohode pouzivanim jedneho prehliadaca na cinnost A a druheho na cinnost B ? Tazky omyl ....
Pokud bude mít Javu aktivní jen v tom prohlížeči, v němž používá tu jedinou a zaručeně zdravou aplikaci, tedy internetové bankovnictví, a ve druhém prohlížeči na všechno ostatní Javu deaktivuje, tak z hlediska této zranitelnosti může být opravdu v klidu. Pokud bude mít Javu aktivní v obou, tak si jen musí dávat bacha, aby nechodil na zaplevelené stránky ;).
Citujem z clanku: "Díra se týká všech posledních verzí Java SE a umožňuje útočníkovi získat plnou kontrolu nad počítačem, který navštíví „vhodně infikovanou“ stránku."
Zle chapem tuto vetu, alebo sa moze sturat len v prehliadaci? Pretoze pokial mam plnu kontrolu nad PC je Ti prd platne ak pouzivas aplikaciu A na nieco ine ako aplikaciu B, ja mam pristup k CELEMU PC a PRETO ho mozem PRELUSTROVAT CELE.
OK, teraz som to docital :-), tak potom ako dopredu vies, ze sa na "TIE DOVERYHODNE" stranky niekto nenabural 5min pred Tebou a nepodstrcil co potreboval, to zisti az neskoro, cize ju nesmie v tom prehliadaci pouzivat VOBEC....
A jéje! A co třeba fakt, že pro e-banking tu děravou Javu prostě potřebuješ? Následně si na JINÝCH stránkách dotáhneš malware s rootkitem, keyloggerem a posílačem souborů, který útočníkovi prozradí tvá hesla, odešle tvé dokumenty. A to jen proto, že MUSÍŠ používat neopatchovanou Javu.
P.S.: ani ten SMS kanál není úplně neprůstřelný, SIM karty je možné (dnes už celkem rychle) klonovat, a málokdo si uvědomuje, že jeho telefon je brána k bankovnímu účtu. Ano, to vše předpokládá cílený útok (nikoli jen obecné rozhození sítí), ale principiálně to možné je.
Je možné SIM kartu naklonovat bez její fyzické přítomnosti?
BTW těším se, až někdo přijde s tím, že SIMky budou jen SW klíč pro telefony - sice to bude supr feature (ne dvě, ale deset SIMek v jednom přístroji...), ale těch problémů...
to jistě ne, ale "ztratit a nalézt" případně "půjčit si" telefon je dnes v silách sociálního inženýrství.
Tak pak je mi to jedno :) Dokud mám svůj mobil já a vím, kde ho mám, tak je to v klidu. To už je snazší mi „sebrat“ platební kartu (myslím jako že stačí opsat údaje) než telefon :). Taky se to už stalo, v jednom relativně luxusním hotelu u sousedů nepatřičně manipulovali s kartami všech, kteří je tam použili (a kartou se dělá třeba záloha na cimru ;). Přišlo se na to včas, takže nikdo o nic nepřišel - teda abych mluvil za sebe, já o nic nepřišel. Jen jsem si musel dojít do baňky vyzvednout novou kartu. Už se mi to stalo dvakrát, takže o mobil a internetové bankovnictví v porovnání s kartou fakt strach nemám :).
:-)
já na internetové platby mám separátní konto a a kartu (a pro internet je "hlavní" účet standardně blokován). Platby u obchodníků jsou pak jasně určeny a imprinter jsem už neviděl hodně dlouho..
Chtěl jsem jen připomenout, že ochrana e-bankingu pomocí SMSky není stoprocentní a že lidi neuvažují a nejednají se svým telefonem dostatečně obezřetně s ohledem na výše uvedené.
Na tohle se hodí parafráze z prvního dílu MIB: Člověk je chytrej, ale lidi jsou hloupý. Sedí to dokonale. Lidi jde oblbnout, proto funguje phishing, proto nám vládne, kdo nám vládne, atd. atd. Já mám jednu embos kartu pro všechno (i internetový platby) a jsem tomu tak rád, protože mi to tak vyhovuje. Vím o všech rizicích, přesto jsem s takovým produktem spokojený. Nic není dokonalé, všechno jde nějak prostřelit. Je to vždy o vývážení pohodlí a rizik. Pro mě jsou např. bezkontaktní platby už příliš rizikové, takže bych do nich nešel.
Problematiku klonování SIM už pár let nesleduju, ale poslední co si pamatuju, tak operátoři zavedly blokaci SIM po určitém počtu I/O operací, čímž zamezily útoku hrubou silou.
Řešní je, mít javu nainstalovanou pouze na vyhrazeném (virtuálním) stroji a ten spouštět pouze za účelem bankovnictví. Poměrně nepohodlné.
ano (od tuším roku 2002), ale "staré" a klonovatelné karty tu stále jsou, třeba já jednu takovou mám (1997), tedy paušalizovat není možné.
Druhý vektor útoku mě napadá odposlech a dešifrování 2G GSM komunikace (pokud vím, kde se cíl útoku nachází).
V rychlosti jsem projel GSM autentizaci. Údajně byl problém s kryptovacím algoritmem Comp128, od kterého se prý ustupuje. Technicky zdatnému útočníkovy to mohlo umožnit získat klíč Ki nutný pro klonování. Podle mě by to běžnej zlodějíček nezvládl, spíš by se jednalo o skupinu podporovanou nějakou vládou.
Chce to poradne nastudovat problematiku a melo by to jit. Neni to nic co by zvladnul kazdej Pepa, ale taky to neni nic co by pri vynalozeni usili nezvladnul slusnej technik.
Principiálně je napadnutelné všechno. U telefonu je dobré to, že jakmile ho ztratíte, hnedka to víte (a přístup zablokujete). Je to fyzická věc. V kombinaci se silným heslem jde o dobrou ochranu. A pak jsou tu ještě klientské X.509 certifikáty, které umí každý prohlížeč (není potřeba Java). Podle mého názoru ideální kombinace, ale například AirBank certifikátů nevyužívá.
Proc Kavu? IcedTea zni lepe:
http://openjdk.java.net/projects/icedtea/
http://en.wikipedia.org/wiki/IcedTea
... akorat uprime nevim, jestli mel nebo nemel stejnou chybu a jestli uz ji opravili ...
Ano, chybu jsme pravděpodobně opravili ještě před tím, než o ní informovala média. To je naprosto standardní proces.
Třeba chce Oracle Javu zlikvidovat ... sice nevím proč, ale jiné vysvětlení téhle akce mi nedává smysl.
to sice zkusit může, ale jednak by tím podřezal své vlastní příjmy (embedded java) a za druhé dnes už existují OS varianty JRE (IBM, Blackdown)
To těžko, když má na Jave postavený skoro všechno ;-). Z toho důvodu je spíš v jeho zájmu, aby jí pořádně opečovával.
Zdar Max
IB ktory pozaduje od klienta javu alebo iny plugin je otras a myslel som ze take banky uz ani neexistuju.Od takej banky by som hned utekal. A co sa tyka javy ako takej, hlavne na desktopoch tak ta sa drzi len vdaka tomu ze v nej existuje kvantum hotovych systemov ktore uz nikto nebude prerabat ale zdaleka nie vdaka kvalite.Java je uz prekonana a osobne by som bol rad keby minimalne na desktope uz zdochla.
Ja by som bol rad keby zdochli "odobrnici" co vedia povedat co je kvalita.
Tady je krásně vidět, jak dobré je používat open source. Například Red Hat (a jiní) vyvíjí vlastní Javu - OpenJDK - která byla opatchována všas (zákaznící Red Hatu dostali updaty rychle). Ne všechny programy jsou ale pod OpenJDK dobře otestovány, například takové bankovnictví pod OpenJDK nemusí vůbec fungovat. Firmy prostě spoléhají na Oracle Javu, a to už je dneska chyba.
Mimochodem Java Oraclu vydělává na serverech, nikoli v prohlížečích. Technologie jako jsou Applety, WebStart nebo JavaFX Oracle koupil jaksi "navíc" a evidentně jim spíše překáží. Stejně tak J2ME - tato technologie je v podstatě mrtvá. Je to vidět, Oracle prostě tomu nedává prioritu.
Mimochodem, nechci dělat reklamu, ale například AirBank Javu absolutně nepotřebuje. Dá se dělat bankovnictví i bez Appletů :-)
To nie je problem toho, ze to nie je OpenSource, ved vela inych firiem dokaze reagovat v radoch dni ak ide o kriticku dieru. Problem je Oracle a ja mam na nich tazke srdce aj za to, co dorobili s OO.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.