Hi Leute,
nachdem JAP ja in Java geschrieben ist und Java Runtime benötig, stelle ich mir die Frage inwiefern das Oracle Java Runtim ein Sicherheitsrisiko darstellt.
Bei Apple ist ja bekanntlich xCode manipuliert worden und stellt somit für alles OSX und iOS Entwicklungen eine Sicherheitsrisiko dar.
Nachdem ja Oracle auch nicht ser vertrauenswürdig ist, könnte doch auch im Java Runtime Schadcode einthalten sein, oder?
Java Sicherheit
-
IvanBliminse
- Posts: 176
- Joined: Fri Jan 23, 2015 0:47
Re: Java Sicherheit
Falsch, eine Möglichkeit wurde in dem geleakten Bericht aufgezeigt. Ob es wirklich umgesetzt wurde ist die Frage.upl9700 wrote:Hi Leute,
nachdem JAP ja in Java geschrieben ist und Java Runtime benötig, stelle ich mir die Frage inwiefern das Oracle Java Runtim ein Sicherheitsrisiko darstellt.
Bei Apple ist ja bekanntlich xCode manipuliert worden und stellt somit für alles OSX und iOS Entwicklungen eine Sicherheitsrisiko dar.
Nebenbei, wenn das wirklich so umgesetzt wurde, ist es unwahrscheinlich, dass XCode direkt bei Apple kompromitiert wurde. Es wurde dann eher erst bei einem bestimmten Dev geändert, um eine bestimmte Zielgruppe direkt an der technischen Quelle zu infiltrieren.
Möglich wäre es, dass ein korruptes JDK untergejubelt wurde. Wahrscheinlickeit das dies so ist, gegen Null.Nachdem ja Oracle auch nicht ser vertrauenswürdig ist, könnte doch auch im Java Runtime Schadcode einthalten sein, oder?
-
cane
Re: Java Sicherheit
Source Code von OpenJDK nehmen und selbst compilieren.
Ist unter NetBSD und OpenBSD der Standardweg, um eine JRE zu bekommen.Es würde auch der NSA schwer fallen, dort eine dauerhafte Backdoor zu installieren.
Wenn man allerdings ein Betriebssystem nutzt, bei dem man die Java Runtime von Oracle nehmen MUSS, dann ist Java das kleinste Problem. Dann sollte man auch nicht über Java diskutieren.
Ich denke, dass das Risiko einer Backdoor in Java nicht größer ist, als manipulierte Crypto Bibliotheken wie OpenSSL (remember: Heartbleed Bug), Nettle Lib, GnuTLS oder ähnliches. Wenn man JonDo in C/C++ schreiben würde, dann würde man diese Crypto Libs nutzen und nicht alles selbst neu erfinden. Man wäre dann (wie Tor) vom den Heartbleed Bug oder dem Bug im Debian Zufallsgenerator oder ähnlichem auch betroffen.
Manipulation von Crypto Libs wurde in den geleakten Dokumenten auch erwähnt, haben Sie sicher auch gelesen, oder? Java wurde nicht erwähnt.
Ist unter NetBSD und OpenBSD der Standardweg, um eine JRE zu bekommen.Es würde auch der NSA schwer fallen, dort eine dauerhafte Backdoor zu installieren.
Wenn man allerdings ein Betriebssystem nutzt, bei dem man die Java Runtime von Oracle nehmen MUSS, dann ist Java das kleinste Problem. Dann sollte man auch nicht über Java diskutieren.
Ich denke, dass das Risiko einer Backdoor in Java nicht größer ist, als manipulierte Crypto Bibliotheken wie OpenSSL (remember: Heartbleed Bug), Nettle Lib, GnuTLS oder ähnliches. Wenn man JonDo in C/C++ schreiben würde, dann würde man diese Crypto Libs nutzen und nicht alles selbst neu erfinden. Man wäre dann (wie Tor) vom den Heartbleed Bug oder dem Bug im Debian Zufallsgenerator oder ähnlichem auch betroffen.
Manipulation von Crypto Libs wurde in den geleakten Dokumenten auch erwähnt, haben Sie sicher auch gelesen, oder? Java wurde nicht erwähnt.
Re: Java Sicherheit
Bei solchen Dingen ist ein wachsames Auge immer angebracht.upl9700 wrote: D.h. ich bin "oraclefrei" und beruhigt
Gut gemacht!
Re: Java Sicherheit
@upl OpenJDK ist nicht Oracle frei. Das ist fast der gleiche Code, nur von Oracle freigegeben. Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann. Deswegen darf nichts sicherheitskritisches wie Anonymisierung über Java laufen und Java darf auf einem abgesicherten System eigentlich gar nicht vorhanden sein.
Re: Java Sicherheit
Na, jemand der das soo gut weiss der hat doch sicher auch kein jondo laufen am eigenen Rechner....f09j300 wrote:@upl OpenJDK ist nicht Oracle frei. Das ist fast der gleiche Code, nur von Oracle freigegeben. Alle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann. Deswegen darf nichts sicherheitskritisches wie Anonymisierung über Java laufen und Java darf auf einem abgesicherten System eigentlich gar nicht vorhanden sein.
-
cane
Re: Java Sicherheit
Das ist auch Bullshit, wie so vieles, was unter diesem Pseudonym heute wieder gepostet wurde. Natürlich wurde kein Link angegebenAlle JREs haben eine kritische Lücke, einen Remote-Zugriff, den man nicht sauber abstellen kann.
Man kann den Remote Zugriff auf eine JRE beim Start eines Java-Programms aktivieren mit einer "-Dproperty=value". Für den Remote Zugriff ist com.sun.management.jmxremote zuständig, z.B:
Code: Select all
> java -Dcom.sun.management.jmxremote -jar Notepad.jarBei Java-Programmen in der Google-Klaut ist das aktiv, wenn man JonDo startet, dann ist es nicht aktiv.
Re: Java Sicherheit
@cane Mit Bullshit meinst du, du verstehst es nicht?
Wozu soll ich denn einen Link schicken? Zu der Konfigurationsdatei auf meinem PC? Kann jeder im Java-Verzeichnis selbst suchen. Bei Jondo nicht aktiv? Dafür soll sich ein Hacker interessieren? Die Konfigurationsdatei, in der das aktiv ist, gehört zu Java, doch nicht zu Jondo. Einen Link zu der Info dass Java immer von Oracle ist? Kann man bei Oracle nachlesen, Code runterladen, vergleichen oder, für das Niveau hier, Wikipedia.
Doch, ich habe Jondo am laufen und einen Workaround um die Remote-Funktion so weit es geht über die Konfigurationsdatei zu deaktivieren und im Falle einer Nutzung an der Konfigurationsdatei vorbei in eine Sandbox zu sperren.
Wozu soll ich denn einen Link schicken? Zu der Konfigurationsdatei auf meinem PC? Kann jeder im Java-Verzeichnis selbst suchen. Bei Jondo nicht aktiv? Dafür soll sich ein Hacker interessieren? Die Konfigurationsdatei, in der das aktiv ist, gehört zu Java, doch nicht zu Jondo. Einen Link zu der Info dass Java immer von Oracle ist? Kann man bei Oracle nachlesen, Code runterladen, vergleichen oder, für das Niveau hier, Wikipedia.
Doch, ich habe Jondo am laufen und einen Workaround um die Remote-Funktion so weit es geht über die Konfigurationsdatei zu deaktivieren und im Falle einer Nutzung an der Konfigurationsdatei vorbei in eine Sandbox zu sperren.
-
cane
Re: Java Sicherheit
Die Konfiguration auf Ihrem PC interessiert mich nicht.Wozu soll ich denn einen Link schicken? Zu der Konfigurationsdatei auf meinem PC?
Ich meinte einen Link zur Dokumentation der Remote-Funktion in Java. Ist es die oben angesprochene Funktion, die man extra aktivieren muss, oder haben Sie noch etwas anderes?
Konfigurationsparameter kann man auf der Kommandozeile auf Aufruf eines Java-Programms überschreiben (schon mal davon gehört?), z.B. beim Start von JonDo:Die Konfigurationsdatei, in der das aktiv ist, gehört zu Java, doch nicht zu Jondo.
Code: Select all
java -Djava.net.preferIPv4Stack=true -XX:-UsePerfData -jar JAP.jar