Page 1 of 1

Java Sicherheit

Posted: Mon Mar 30, 2015 22:02
by upl9700
Hi Leute,

nachdem JAP ja in Java geschrieben ist und Java Runtime benötig, stelle ich mir die Frage inwiefern das Oracle Java Runtim ein Sicherheitsrisiko darstellt.

Bei Apple ist ja bekanntlich xCode manipuliert worden und stellt somit für alles OSX und iOS Entwicklungen eine Sicherheitsrisiko dar.

Nachdem ja Oracle auch nicht ser vertrauenswürdig ist, könnte doch auch im Java Runtime Schadcode einthalten sein, oder?

Re: Java Sicherheit

Posted: Mon Mar 30, 2015 23:18
by IvanBliminse
upl9700 wrote:Hi Leute,

nachdem JAP ja in Java geschrieben ist und Java Runtime benötig, stelle ich mir die Frage inwiefern das Oracle Java Runtim ein Sicherheitsrisiko darstellt.

Bei Apple ist ja bekanntlich xCode manipuliert worden und stellt somit für alles OSX und iOS Entwicklungen eine Sicherheitsrisiko dar.
Falsch, eine Möglichkeit wurde in dem geleakten Bericht aufgezeigt. Ob es wirklich umgesetzt wurde ist die Frage.

Nebenbei, wenn das wirklich so umgesetzt wurde, ist es unwahrscheinlich, dass XCode direkt bei Apple kompromitiert wurde. Es wurde dann eher erst bei einem bestimmten Dev geändert, um eine bestimmte Zielgruppe direkt an der technischen Quelle zu infiltrieren.
Nachdem ja Oracle auch nicht ser vertrauenswürdig ist, könnte doch auch im Java Runtime Schadcode einthalten sein, oder?
Möglich wäre es, dass ein korruptes JDK untergejubelt wurde. Wahrscheinlickeit das dies so ist, gegen Null.

Re: Java Sicherheit

Posted: Tue Mar 31, 2015 7:33
by cane
Source Code von OpenJDK nehmen und selbst compilieren.

Ist unter NetBSD und OpenBSD der Standardweg, um eine JRE zu bekommen.Es würde auch der NSA schwer fallen, dort eine dauerhafte Backdoor zu installieren.

Wenn man allerdings ein Betriebssystem nutzt, bei dem man die Java Runtime von Oracle nehmen MUSS, dann ist Java das kleinste Problem. Dann sollte man auch nicht über Java diskutieren.

Ich denke, dass das Risiko einer Backdoor in Java nicht größer ist, als manipulierte Crypto Bibliotheken wie OpenSSL (remember: Heartbleed Bug), Nettle Lib, GnuTLS oder ähnliches. Wenn man JonDo in C/C++ schreiben würde, dann würde man diese Crypto Libs nutzen und nicht alles selbst neu erfinden. Man wäre dann (wie Tor) vom den Heartbleed Bug oder dem Bug im Debian Zufallsgenerator oder ähnlichem auch betroffen.

Manipulation von Crypto Libs wurde in den geleakten Dokumenten auch erwähnt, haben Sie sicher auch gelesen, oder? Java wurde nicht erwähnt.

Re: Java Sicherheit

Posted: Tue Mar 31, 2015 12:47
by upl9700
OpenJDK hab ich installiert.
D.h. ich bin "oraclefrei" und beruhigt ;-)

Re: Java Sicherheit

Posted: Tue Mar 31, 2015 14:03
by xg27
upl9700 wrote: D.h. ich bin "oraclefrei" und beruhigt ;-)
Bei solchen Dingen ist ein wachsames Auge immer angebracht.
Gut gemacht!

Re: Java Sicherheit

Posted: Mon Apr 06, 2015 17:53
by f09j300
@upl OpenJDK ist nicht Oracle frei. Das ist fast der gleiche Code, nur von Oracle freigegeben. Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann. Deswegen darf nichts sicherheitskritisches wie Anonymisierung über Java laufen und Java darf auf einem abgesicherten System eigentlich gar nicht vorhanden sein.

Re: Java Sicherheit

Posted: Mon Apr 06, 2015 20:52
by xg27
f09j300 wrote:@upl OpenJDK ist nicht Oracle frei. Das ist fast der gleiche Code, nur von Oracle freigegeben. Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann. Deswegen darf nichts sicherheitskritisches wie Anonymisierung über Java laufen und Java darf auf einem abgesicherten System eigentlich gar nicht vorhanden sein.
Na, jemand der das soo gut weiss der hat doch sicher auch kein jondo laufen am eigenen Rechner....

Re: Java Sicherheit

Posted: Mon Apr 06, 2015 21:16
by cane
Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann.
Das ist auch Bullshit, wie so vieles, was unter diesem Pseudonym heute wieder gepostet wurde. Natürlich wurde kein Link angegeben

Man kann den Remote Zugriff auf eine JRE beim Start eines Java-Programms aktivieren mit einer "-Dproperty=value". Für den Remote Zugriff ist com.sun.management.jmxremote zuständig, z.B:

Code: Select all

> java -Dcom.sun.management.jmxremote -jar Notepad.jar
Das weitere ist in den Docs beschrieben (wie Zugriffsrechte verwaltet werden usw.): https://docs.oracle.com/javase/8/docs/t ... agent.html

Bei Java-Programmen in der Google-Klaut ist das aktiv, wenn man JonDo startet, dann ist es nicht aktiv.

Re: Java Sicherheit

Posted: Thu May 14, 2015 17:18
by f09j300
@cane Mit Bullshit meinst du, du verstehst es nicht?

Wozu soll ich denn einen Link schicken? Zu der Konfigurationsdatei auf meinem PC? Kann jeder im Java-Verzeichnis selbst suchen. Bei Jondo nicht aktiv? Dafür soll sich ein Hacker interessieren? Die Konfigurationsdatei, in der das aktiv ist, gehört zu Java, doch nicht zu Jondo. Einen Link zu der Info dass Java immer von Oracle ist? Kann man bei Oracle nachlesen, Code runterladen, vergleichen oder, für das Niveau hier, Wikipedia.

Doch, ich habe Jondo am laufen und einen Workaround um die Remote-Funktion so weit es geht über die Konfigurationsdatei zu deaktivieren und im Falle einer Nutzung an der Konfigurationsdatei vorbei in eine Sandbox zu sperren.

Re: Java Sicherheit

Posted: Thu May 14, 2015 18:24
by cane
Wozu soll ich denn einen Link schicken? Zu der Konfigurationsdatei auf meinem PC?
Die Konfiguration auf Ihrem PC interessiert mich nicht.

Ich meinte einen Link zur Dokumentation der Remote-Funktion in Java. Ist es die oben angesprochene Funktion, die man extra aktivieren muss, oder haben Sie noch etwas anderes?
Die Konfigurationsdatei, in der das aktiv ist, gehört zu Java, doch nicht zu Jondo.
Konfigurationsparameter kann man auf der Kommandozeile auf Aufruf eines Java-Programms überschreiben (schon mal davon gehört?), z.B. beim Start von JonDo:

Code: Select all

java -Djava.net.preferIPv4Stack=true -XX:-UsePerfData -jar JAP.jar
Mit diesen Parametern wird JonDo standardmäßig gestartet. Man muss also keine Java Config Datei ändern. Fragen?