Discussion :

[charlix]

Bonjour,

Je fais des recherches actuellement sur le sujet des vers et des virus en java. J'en suis encore à ma phase de recherche d'informations sur le sujet. Donc je souhaiterais savoir si quelqu'un aurait des infos sur les sujets qui pourraient m'intéresser.

Y-at-il beaucoup d'infection basées sur ce langage ? Est-ce que le langage java à connu beaucoup de problèmes au cours du temps dus aux différentes infections virales ? Est-ce qu'il se pourrait qu'un jour ce langage soit le meilleur moyen de créer des vers et des virus grâce à ses fonctionnalités et ses spécificités.

Si vous avez quelquonque informations, conseil dans la rédaction, ou quelques sources de code d'infections virale en java, je suis preneur.

Merci d'avance

[gifffftane]

Dans ce domaine tout particulièrement le problème se trouve entre l'ordinateur et la chaise.

Le jour où ce "problème" utilisera Java, comme il utilise Windows aujourd'hui, alors il y aura beaucoup de virus en Java.

Actuellement, je n'ai jamais entendu parler de virus basés sur Java. Pourquoi les méchants hackers se compliqueraient-ils la vie ?... c'est tellement plus facile avec les pratiques web d'aujourd'hui.

[charlix]

bonjour giffftane,

Ouai je sais qu'il n'y a pas tellement d'infections utilisant java, mais faut bien que je fasse le lien dans mon mémoire avec JAVA. Donc c'est pour cela que je demande.

Il faudrais juste que je trouve une bonne partie pour parler de JAVA, parce que le reste pour les vers et les virus, j'ai tout ce qu'il me faut

[Chatbour]

discussion intéressante

Je suis encore débutant en java mais je pense qu'il serait idéal pour faire des virus du fait qu'il est multi plate-forme ..

[T`lash]

Il me semble qu'il y a eu il y a quelques années une faille dans une jvm qui a été exploitée.

[gifffftane]

J'insiste un petit peu, même si je comprends bien que ton mémoire doit contenir telle et telle choses, et que ça ne t'aide pas. Moi je suis pas obligé de dire les choses que le professeur veut entendre.

Dans toutes ces histoires de virus, vers, etc, le problème - et la solution - est l'utilisateur. C'est lui qui, par sa discipline, par son information, sa pratique, va construire sa sécurité.

La technique employée - java, windows, linux, etc - n'est qu'un point parfaitement secondaire. Aucune de ces technos n'est anti ou pro virus par elle même.

Il est clair que, pour chaque technique, les virus préfèreront tel angle d'attaque. Mais c'est si facile aujourd'hui, avec le baratin (à la mode microsoft, il faut le reconnaître) (mais les milieux "open source", ne sont pas tous blancs non plus : il y aurait beaucoup à dire sur leur collusion actuelle avec Google, grand pourvoyeur d'espionnages en tous genres) marketing destiné à montrer les avantages des srvices, que les gens se laissent espionner et viruser pratiquement tout seul.

Bon, concernant Java !? (je fais au moins semblant de répondre, n'est-ce pas ? ). Si j'étais un hacker méchant ? Les techniques d'instrumentation me donneraient certainement quelque potentiel intéressant. (personne n'utilise le SecurityManager, donc la voie est libre). Des failles dans la JVM ? Il n'en a jamais eu beaucoup, malgré la liste faussement impressionante visible sur le site de Sun dans la bug data base. Plus facile : aujourd'hui il doit être assez simple d'installer une fausse JVM, grâce aux installs automatiques par Java Web Start.

Par quoi serai-je handicapé, en tant que hacker méchant ? Certainement, la furtivité ne risque pas d'être le point fort des virus java ! Cependant, il faut remarquer qu'un programme java n'a qu'un seul nom du point de vue du système : il s'appelle toujours... java. Que votre programme java soit un traitement de texte, d'image, un navigateur ou un virus, il s'appelera toujours "java". Et ce n'est pas forcément simple de savoir de quel programme java il s'agit exactement. Donc la furtivité peut jouer là dessus.

Bon, voilà, j'ai fait un effort pour le prof. Merci.

[eclesia]

Plus facile : aujourd'hui il doit être assez simple d'installer une fausse JVM, grâce aux installs automatiques par Java Web Start.

Toute action qui peut etre dangereuse (acces au disque dur, ouverture d'un socket ...etc...) va forcement demander que les .jar de l'appli soient signés, Dans le cas contraire l'appli restera dans la "sandbox" (comme pour un applet web).
De plus si les jars viennent a etre signés, l'utilisateur vera un message lui demandant s'il accepte l'installation de l'appli. Donc a moins de planquer le virus dans une application qui a l'air normal et que l'utilisateur a deliberement telecharger, il n'y a aucun moyen qu'il s'installe discretement par le biais de Java Web Start.

[gifffftane]

Oui, mais les gens manquent totalement de rigueur sur ces questions de signature.

Je ne compte plus les RPM - j'utilise Linux - open source qui ne sont pas signés, (y compris dans la distrib officielle), les signatures qui viennent de je ne sais où et que j'accepte bien sûr, etc.

Ici c'est à la fois un problème d'utilisateur et de communauté. Nous même, développeurs, manquont de rigueur là dessus. Et puis, on en voudrait, on fait quoi ? Moi je fais des applis JWS, je signe avec mon certificat que je me suis fabriqué, mais tout le monde peut en fabriquer un autre avec mon nom et celui de ma boite, et même l'acheter à je ne sais quel organisme certificateur, rendant le faux certificat plus vrai que le vrai !

Ensuite tout ça est, je pense, facilement contournable, car, sous IE, à l'origine Java Web Start est lancé par un mini plug in - une énième signature à accepter je pense. Rien n'empêche d'en faire un autre.

L'organisation des signatures N'EST PAS standardisée - ou du moins il y a tant de standards... -, pas plus dans les milieux open source que dans les milieux propriétaires.

À partir de là, faut-il vraiment se poser la question du langage ?... OUI ?...

[charlix]

merci giffftane pour tes réponses à contre coeur, mais c'est sympa.

Bon, je suis encore débutant en JAVA, mais je ne comprend pas ce que c'est que ces signatures ? Qu'est ce qui est signé ?

Sinon, ouai éclésia j'avais pensé à l'ouverture de socket en java qui aurais pu être intéressant à dire.

[T`lash]

Pour s'assurer qu'une application provient bien d'une source, cette source la "signe" grâce à un certificat (qu'on appelle signature dans ce cas).

Comme cette signature est sensée prouver l'origine de l'application et qu'on atteste du sérieux de cette origine, on peut autoriser l'application à sortir du bac à sable.
Le bac à sable est un environnement restreint dans lequel fonctionne les programmes Java et qui limite la portée de leur action (pas d'accès aux fichiers du disque dur par exemple).

Le problème est que c'est l'utilisation qui va autoriser ou non cette sortie du bac à sable ; s'il clique toujours sur autoriser sans faire plus attention la signature ne va pas servir à grand chose.

[charlix]

Mais sinon en utilisant les servlet, il y aurait pas mal de chose à hacker au niveau des serveurs, cela pourrait être intéressant d'en parler ?

Enfin moi je ne suis encore qu'un débutant en JAVA, donc je n'ai encore pas une vue d'ensemble des possiblités que peut offrir JAVA.

C'est pour cela que je préfere commencer par demander à des spécialistes.

[T`lash]

Comme pour tous les langages côté serveur, il doit y avoir des serveurs d'applications Java susceptibles d'être une porte ouverte pour exécuter du code malveillant sur la machine hôte.

Après ça va dépendre justement non pas du langage Java lui-même, mais de l'implémentation du conteneur web.

[charlix]

Qu'est ce que vous tu entends pas implémentation du conteneur web ?

[T`lash]

Simplement que pour pouvoir faire fonctionner une servlet, un EJB ou autres, un serveur d'applications implémente à sa manière Java EE. Il est logique que chaque serveur d'applications Java soit différent des autres et qu'il vienne avec ses bugs et ses failles.

Selon le serveur d'applications, le conteneur web (le composant du serveur d'applications qui gère les servlets et les JSP) va offrir tel ou tel faille aux hackers.

C'est pareil pour toutes les attaques ; il faut connaître les logiciels utilisés sur une machine pour connaître les failles que l'on est susceptible d'utiliser.

Je voulais signifier par là que ces attaques ne sont pas dues à des failles de Java lui-même mais du serveur d'application utilisé.

[charlix]

Pour toi, pour faire le lien entre JAVA et les virus et les vers, qu'est ce qu'il serait le mieux à développer ?

[sloshy]

Bonjour,
Je en grande partie d'accord avec T`lash sur le fait que le maillon le plus faible dans la sécurité informatique est l'utilisateur !
Aujourd'hui les auteurs de malware l'ont compris et beaucoup tourne autours de ce sujet (de nouvelle technique sont d'ailleur devellopé en ce sens).

Pour ce qui est de java est des malwares, tu peux te tourner vers deux aproches differentes:
- L'utilisation du langage pour créer un malware. (donc partir des specificités du langage)
- L'exploitation de la JVM.

Des malwares ont pu profité de faiblesse de sécurité de la vm de java par le passé, mais je pense que plus ont avance est plus il sera difficile de renouveller l'exploit vu la politique de sécurité accrue chez sun. (il est à noté que la machine virtuelle attaquée était celle de microsoft sur la plateforme XP et non une solution de chez sun).

http://secunia.com/search/?search=java devrais te permettre de faire regarder un peu plus à la sécurité lié à java.

Pour moi, c'est le seul angle de liaison qui était exploitable, mais c'est du passé depuis que sun à gagné son procès contre MS.

[T`lash]

Un des points importants est, comme l'a souligné gifffftane, que tout programme programmé en Java apparaitra dans la liste des processus comme java ou java.exe selon le système.

C'est justement ces trois derniers mots qui sont à noter car un programme Java peut s'exécuter dans des environnements totalement différents et comme les attaques sont le plus souvent orientées vers un type de systèmes particuliers (je n'ai en effet jamais entendu parlé d'un virus capable d'infecter à la fois Windows et Linux), un virus programmé en Java pourra souvent ce retrouver dans une situation où il est inefficace.

De part la nature même du langage, je ne crois pas qu'il soit possible d'écrire un vers en Java (bien qu'il existera toujours un petit malin pour réussir à me faire mentir), mais des virus c'est tout à fait possible.

Tout le monde n'a pas non plus de JVM installé sur sa machine alors un virus écrit en Java touchera moins de monde qu'un écrit en C/C++ ; et c'est là l'objectif d'un pirate.... toucher le plus de machines possible avant d'être découvert.

Il y a donc des plus, mais surtout des moins pour les virus en Java.
C'est donc une possibilité qui n'a pas encore été vraiment exploité, mais je crois que ça ne va pas forcément rester tel quel.
Les lycéens par exemple utilisent de plus en plus de logiciels comme Geogebra qui les obligent à installer une JVM et donc des logiciels écrits en Java vont de plus en plus circuler sur le net.
Un programme Java peut très bien écrire un autre jar sur le disque avec un code malveillant qui va continuer son exécution après l'arrêt du programme de base.
Il est toutefois facile de savoir où se trouve un jar et ce qu'il contient lorsqu'on se rend compte qu'un processus java fait des choses étranges.
Le reverse-engineering est beaucoup plus facile à faire en Java qu'en C et donc un virus Java reste plus facile à découvrir.

L'idée à retenir c'est que ce n'est pas encore une pratique courante mais que ça peut le devenir dans le futur.



PS : Désolé pour ces idées un peu pèle-mèle mais je te les écrit comme ça sort.

[sloshy]

Bonjour,
le java.exe pour les app qui tourne en java c'est pas un argument, des manipulations qui sont devenue simpliste dans sur la scène te permette de masquer des processus facilement.
Ensuite faire un ver en java, je pense que c'est juste plus facile du fait que le framework est propre à la VM et non au système.

[charlix]

Ok merci pour cette explication qui me parait completement satisfesante et compréhensible T'lash.

Je pense que je vais me penché très serieusement sur le faite que ce n'ait pas pratique courante de faire des virus pour java et sur java et que cela pourrais le devenir un jour grâce à divers points.

Merci à toi aussi sloshy pour m'avoir tant aidé aujourd'hui !!!

Je laisse cette discussion ouverte si j'ai d'autres questions ou si des personnes voudraient rajoutés quelques choses.

Bonne soirée à vous

[T`lash]

Bonjour,
le java.exe pour les app qui tourne en java c'est pas un argument, des manipulations qui sont devenue simpliste dans sur la scène te permette de masquer des processus facilement.

Tu n'as pas dû comprendre ce que je voulais dire : le fait que tous les programmes en Java s'affichent comme java.exe n'est justement pas un inconvénient à l'écriture de virus car ça ne paraît pas inquiétant d'avoir un java.exe dans sa liste des processus.
Moi par exemple, je me dis "tiens, c'est GlassFish, ou Netbeans, ou un applet, ou........."
Je trouverais plus inquiétant d'avoir 2 processus msnmgr.exe car de nombreux virus utilise ce nom de fichier pour passer inaperçu.