Java es el principal vector de infección de PCs
Abraham
Peter Kruse, CTO de la firma de seguridad CSIS Security Group A/S, ha publicado en la web de la empresa un informe donde se analiza cómo se infectan con malware los equipos muy Windows. No hay ninguna novedad en este informe, pero está bien refrescar esta situación, especialmente dentro de esta comunidad. Java sigue siendo el principal vector de ataque para equipos Windows, seguido por Adobe Reader/Acrobat y en tercer lugar por Adobe Flash.
Este informe ha surgido de la monitorización que realiza la compañía de "exploit kits" comerciales. Estos son paquetes que uno puede comprar y después configurar a su medida para comenzar a crear, por ejemplo, tu propia flota de ordenadores zombies. El 85% de las infecciones de equipos actualmente suceden a través de estos kits comerciales, que han superado ampliamente a las soluciones más "artesanales" que crea un hacker en su casa por su cuenta.
Esta monitorización incluyó más de medio millón de PCs. Según los resultados, el 37% de las infecciones es de toro de ataque fue el JRE, en el 32% Adobe Reader/Acrobat y el 16% Flash. En la inmensa mayoría de los casos la infección se debe a que el usuario está usando una versión anticuadas en las últimas actualizaciones de seguridad del producto.
Estos datos son similares a las estadísticas que Microsoft obtuvo de su Microsoft Removal Tool en 2010 (desde entonces no han vuelto publicar un informe actualizado). Está claro es que Java tiene un problema de seguridad grave en el cliente. Y eso va a ser un lastre muy importante en la adopción de JavaFX. Como ya he comentado en el pasado, comienza a ser una recomendación bastante habitual entre los especialistas en seguridad decirle a la gente que desinstale Java de su equipo (ejemplos 1 y 2).
Si Oracle no toma ninguna medida, la situación sólo va a empeorar. Y la única solución viable que yo veo es realizar actualizaciones automáticas para el JRE, al estilo de lo que hacen los navegadores de web Chrome y Firefox.
Reader Comments (8)
Parece que Microsoft todavía no ha perdonado que no puede tener su versión de java y en lugar de usar un nombre elegante y reconocido, tiene que llamarlo c#. Por cierto, ¿no han estudiado la seguridad de su plataforma .Net?
¿Porqué se centra tanto en Java? ¿Y no les preocupa, por ejemplo la salida de Dart? En lugar de perder tiempo estudiando seguridad de java deben empezar a desarrollar Dart#. ;)
Esto no tiene nada que ver con Microsoft. Microsoft pierde con la situación tan nefasta de seguridad para Windows. Esto tiene que ver con que la gente no actualiza el JRE porque no sabe lo que es, y porque está hasta los cojones de que "todo se actualice". La única solución es que esas actualizaciones sucedan de forma transparente para el usuario. Porque el usuario no las va a hacer manualmente.
Totalmente de acuerdo con Abraham. Las actualizaciones de seguridad deben ser automaticas. Por otro lado, en Windows, sin actualizaciones automaticas casi no se puede sobrevivir online ...
* Para que tanta compatibilidad hacia atras (con el coste que supone) si despues no se actualiza a la ultima version? Para la mayoria de la gente los "popups" de "hay una version nueva de X" solo les sirven para producir estres ...
* El unico miedo que me dan las actualizaciones automaticas es que de vez en cuando alguien mete la pata y algunas cosas dejan de funcionar ...
Una actualización automática del jre puede mandar a la mierda cientos de aplicaciones empresariales que usan jdk's antiguos y que se aprovechan de clases depricated y de la idiosincrasia particular de cada jdk. Que he tenido que picarme todo el interfaz gráfica de una aplicación de telefonía en javascript porque no había manera de sortear un bug en swing en el jre del cliente ( 1.4.07 ) y no hay manera de que se actualicen.
Yo hablo de actualizaciones automáticas para el *JRE*, no para el JDK. La gran mayoría de las aplicaciones empresariales emplean este último. Por otro lado, como es el caso de cualquier sistema que se actualiza automáticamente, siempre se puede deshabilitar esa opción. Lo que digo es que el comportamiento por defecto, el que se debe aplicar a la inmensa mayoría de los usuarios, es actualizarse. Los casos donde no se debe de actualizar para no romper algo son los menos.
Estoy de acuerdo con Abraham, de hecho así esta en la instalación del jre por defecto, lo único es que pide una confirmación al usuario para instalar la nueva versión, pero que pudiera hacerse en segundo plano seria muy bueno, y que dejara de crear una carpeta por cada versión también seria bueno...
¿ Banksphere se considera un virus ?
No se que bug estaran explotando para infectar a traves del jre. Yo tenia la idea de que lo hacian con javaws y un poco (muy poco) de ingenieria social.
No vean lo facil que es conseguir que alguen sin mucha idea acepte dar todos los permisos a una aplicacion que se abre y que pregunta cosas muy raras.
Si fuera este el caso, la unica solucion seria desactivar totalmente la posibilidad de dar todos los permisos a una aplicacion javaws simplemente respondiendo Aceptar en un dialogo que se abre por ahi.