Java-lekken zeer populair bij cybercriminelen in 2013
Java-lekken waren vorig jaar zeer populair bij cybercriminelen, zo blijkt uit een overzicht van de exploits waarmee geprobeerd werd om internetgebruikers met malware te infecteren. Exploits maken misbruik van beveiligingslekken en worden onder andere via exploitkits gebruikt.
De NTT Group analyseerde voor dit jaarrapport allerlei exploitkits die vorig jaar waren gebruikt en ontdekte dat van de 10 exploits die het vaakst in exploitkits werden aangetroffen, er 8 tegen verouderde Java-installaties waren gericht. De overige twee kwetsbaarheden maakten misbruik van lekken in Internet Explorer en Microsoft Silverlight.
Uit de analyse bleek verder dat exploitkits vaker meer recente kwetsbaarheden gebruiken om internetgebruikers aan te vallen. In 2012 was een gemiddelde exploit nog twee jaar oud, vorig jaar was dat iets meer dan een jaar. Hoe "jonger" de exploit des te groter de kans dat internetgebruikers het lek dat via de exploit wordt aangevallen niet hebben gepatcht. Zowel in 2012 als in 2013 werden er echter exploits aangetroffen die uit 2006 dateren.
Het gaat waarschijnlijk om misbruik van de Java browserplugin, dat is nu nog wel de meest gebruikte aanvalsmethode.
De javaplugin kan je uitzetten in je browservoorkeuren maar het is niet de veiligste oplossing.
Veiliger is het als je Java toch niet gebruikt het (java) helemaal te verwijderen van je pc, wanneer je het toch nodig zou hebben haal je dan gratis en voor niets de nieuwste versie binnen.
Want ook buiten de Java browserplugin zijn aanvallen met gebruik van Java mogelijk, alleen nog niet zo populair omdat aanvallen via de browserplugin al zo succesvol zijn : 50 % van alle malware bestaat uit aanvallen op Java en zoonlief de browserplugin.
Jammer maar helaas.
Aanvallen op Java zijn dus aan het verschuiven omdat meer mensen bewust worden van de kwetsbaarheden en zwakke maatregelen nemen : "Hoe "jonger" de exploit des te groter de kans dat internetgebruikers het lek dat via de exploit wordt aangevallen niet hebben gepatcht."
Er wordt sneller geüpdatet door gebruikers maar nog niet snel genoeg, daar wordt nog misbruik van gemaakt.
Gooi Java eraf als je het niet nodig hebt, hoef je het namelijk ook niet meer te updaten. Simpel toch?
Banaan met as is als barbecue-en met tegenwind; het resultaat is onplezierig , a-culinaair, on-eetbaar .
Ik gebruik op mijn mac's wel de jere versie 8 van de java plugins voor mijn internetbrouwser.
Safari vind ik niet zo gebruikersvriendelijk,dus heb gekozen voor Mozilla firefox nu op dit moment versie 28
Java 8 is echter pas in 2014 uitgekomen, dus cijfers van 2013 zijn niet echt relevant als je vraagtekens bij de veiligheid van de nieuwe java versie zet.
De redactie is nogal hardleers en blijft Java roepen terwijl het om de Java browser plug-in gaat. Als je die niet nodig hebt kan je 'm eenvoudig uitzetten: http://java.com/nl/download/help/disable_browser.xml.
De problemen in de browser plug-in zijn ook allang opgelost (we leven in 2014; natuurlijk wel altijd netjes tijdig - meteen dus - updaten). Over een tijdje hoor je er niets meer over...
Zolang de overgrote meerderheid van de malware-aanvallen (zowel pogingen als geslaagde infecties) gericht is op Java, noemt de redactie Java natuurlijk terecht een beveiligingsrisico. Of dat nou komt door slecht geschreven software, of omdat gebruikers Java in de praktijk niet up to date blijken te houden (omdat Java dat kennelijk niet goed regelt), maakt niet uit.
De problemen in de browser plug-in zijn ook allang opgelost
..
Over een tijdje hoor je er niets meer over...
Dat gaan we voor de goede security sfeer hopelijk meemaken hier, met een dagen-teller
(wie doet er mee? Kidding..) :
counted from Fri. 2014-02-28 : "0" days
Vrij naar deze dagenteller : http://java-0day.com/
Vat het maar op als 'pro'-Java adepten kadootje. Hulde! : 253 dagen 0-day vrij maar liefst!
(teller geldt helaas niet voor de browserplugin vermoedelijk, dat is dan weer buitengewoon jammer, waarschijnlijk zou die telller dan elke week / maand weer op 0 staan?
:-(
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.