Java Sicherheit

Ideen zu allem, was nützlich wäre. Vorschläge und Tipps zur JonDonym-Programmierung.
Post Reply
upl9700

Java Sicherheit

Post by upl9700 » Mon Mar 30, 2015 22:02

Hi Leute,

nachdem JAP ja in Java geschrieben ist und Java Runtime benötig, stelle ich mir die Frage inwiefern das Oracle Java Runtim ein Sicherheitsrisiko darstellt.

Bei Apple ist ja bekanntlich xCode manipuliert worden und stellt somit für alles OSX und iOS Entwicklungen eine Sicherheitsrisiko dar.

Nachdem ja Oracle auch nicht ser vertrauenswürdig ist, könnte doch auch im Java Runtime Schadcode einthalten sein, oder?

IvanBliminse
Posts: 176
Joined: Fri Jan 23, 2015 0:47

Re: Java Sicherheit

Post by IvanBliminse » Mon Mar 30, 2015 23:18

upl9700 wrote:Hi Leute,

nachdem JAP ja in Java geschrieben ist und Java Runtime benötig, stelle ich mir die Frage inwiefern das Oracle Java Runtim ein Sicherheitsrisiko darstellt.

Bei Apple ist ja bekanntlich xCode manipuliert worden und stellt somit für alles OSX und iOS Entwicklungen eine Sicherheitsrisiko dar.
Falsch, eine Möglichkeit wurde in dem geleakten Bericht aufgezeigt. Ob es wirklich umgesetzt wurde ist die Frage.

Nebenbei, wenn das wirklich so umgesetzt wurde, ist es unwahrscheinlich, dass XCode direkt bei Apple kompromitiert wurde. Es wurde dann eher erst bei einem bestimmten Dev geändert, um eine bestimmte Zielgruppe direkt an der technischen Quelle zu infiltrieren.
Nachdem ja Oracle auch nicht ser vertrauenswürdig ist, könnte doch auch im Java Runtime Schadcode einthalten sein, oder?
Möglich wäre es, dass ein korruptes JDK untergejubelt wurde. Wahrscheinlickeit das dies so ist, gegen Null.

cane

Re: Java Sicherheit

Post by cane » Tue Mar 31, 2015 7:33

Source Code von OpenJDK nehmen und selbst compilieren.

Ist unter NetBSD und OpenBSD der Standardweg, um eine JRE zu bekommen.Es würde auch der NSA schwer fallen, dort eine dauerhafte Backdoor zu installieren.

Wenn man allerdings ein Betriebssystem nutzt, bei dem man die Java Runtime von Oracle nehmen MUSS, dann ist Java das kleinste Problem. Dann sollte man auch nicht über Java diskutieren.

Ich denke, dass das Risiko einer Backdoor in Java nicht größer ist, als manipulierte Crypto Bibliotheken wie OpenSSL (remember: Heartbleed Bug), Nettle Lib, GnuTLS oder ähnliches. Wenn man JonDo in C/C++ schreiben würde, dann würde man diese Crypto Libs nutzen und nicht alles selbst neu erfinden. Man wäre dann (wie Tor) vom den Heartbleed Bug oder dem Bug im Debian Zufallsgenerator oder ähnlichem auch betroffen.

Manipulation von Crypto Libs wurde in den geleakten Dokumenten auch erwähnt, haben Sie sicher auch gelesen, oder? Java wurde nicht erwähnt.

upl9700

Re: Java Sicherheit

Post by upl9700 » Tue Mar 31, 2015 12:47

OpenJDK hab ich installiert.
D.h. ich bin "oraclefrei" und beruhigt ;-)

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Java Sicherheit

Post by xg27 » Tue Mar 31, 2015 14:03

upl9700 wrote: D.h. ich bin "oraclefrei" und beruhigt ;-)
Bei solchen Dingen ist ein wachsames Auge immer angebracht.
Gut gemacht!

f09j300
Posts: 58
Joined: Sun Aug 31, 2014 22:22

Re: Java Sicherheit

Post by f09j300 » Mon Apr 06, 2015 17:53

@upl OpenJDK ist nicht Oracle frei. Das ist fast der gleiche Code, nur von Oracle freigegeben. Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann. Deswegen darf nichts sicherheitskritisches wie Anonymisierung über Java laufen und Java darf auf einem abgesicherten System eigentlich gar nicht vorhanden sein.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: Java Sicherheit

Post by xg27 » Mon Apr 06, 2015 20:52

f09j300 wrote:@upl OpenJDK ist nicht Oracle frei. Das ist fast der gleiche Code, nur von Oracle freigegeben. Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann. Deswegen darf nichts sicherheitskritisches wie Anonymisierung über Java laufen und Java darf auf einem abgesicherten System eigentlich gar nicht vorhanden sein.
Na, jemand der das soo gut weiss der hat doch sicher auch kein jondo laufen am eigenen Rechner....

cane

Re: Java Sicherheit

Post by cane » Mon Apr 06, 2015 21:16

Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann.
Das ist auch Bullshit, wie so vieles, was unter diesem Pseudonym heute wieder gepostet wurde. Natürlich wurde kein Link angegeben

Man kann den Remote Zugriff auf eine JRE beim Start eines Java-Programms aktivieren mit einer "-Dproperty=value". Für den Remote Zugriff ist com.sun.management.jmxremote zuständig, z.B:

Code: Select all

> java -Dcom.sun.management.jmxremote -jar Notepad.jar
Das weitere ist in den Docs beschrieben (wie Zugriffsrechte verwaltet werden usw.): https://docs.oracle.com/javase/8/docs/t ... agent.html

Bei Java-Programmen in der Google-Klaut ist das aktiv, wenn man JonDo startet, dann ist es nicht aktiv.

f09j300
Posts: 58
Joined: Sun Aug 31, 2014 22:22

Re: Java Sicherheit

Post by f09j300 » Thu May 14, 2015 17:18

@cane Mit Bullshit meinst du, du verstehst es nicht?

Wozu soll ich denn einen Link schicken? Zu der Konfigurationsdatei auf meinem PC? Kann jeder im Java-Verzeichnis selbst suchen. Bei Jondo nicht aktiv? Dafür soll sich ein Hacker interessieren? Die Konfigurationsdatei, in der das aktiv ist, gehört zu Java, doch nicht zu Jondo. Einen Link zu der Info dass Java immer von Oracle ist? Kann man bei Oracle nachlesen, Code runterladen, vergleichen oder, für das Niveau hier, Wikipedia.

Doch, ich habe Jondo am laufen und einen Workaround um die Remote-Funktion so weit es geht über die Konfigurationsdatei zu deaktivieren und im Falle einer Nutzung an der Konfigurationsdatei vorbei in eine Sandbox zu sperren.

cane

Re: Java Sicherheit

Post by cane » Thu May 14, 2015 18:24

Wozu soll ich denn einen Link schicken? Zu der Konfigurationsdatei auf meinem PC?
Die Konfiguration auf Ihrem PC interessiert mich nicht.

Ich meinte einen Link zur Dokumentation der Remote-Funktion in Java. Ist es die oben angesprochene Funktion, die man extra aktivieren muss, oder haben Sie noch etwas anderes?
Die Konfigurationsdatei, in der das aktiv ist, gehört zu Java, doch nicht zu Jondo.
Konfigurationsparameter kann man auf der Kommandozeile auf Aufruf eines Java-Programms überschreiben (schon mal davon gehört?), z.B. beim Start von JonDo:

Code: Select all

java -Djava.net.preferIPv4Stack=true -XX:-UsePerfData -jar JAP.jar
Mit diesen Parametern wird JonDo standardmäßig gestartet. Man muss also keine Java Config Datei ändern. Fragen?

Post Reply