Hackování JVM

Fen

Hackování JVM
« kdy: 03. 04. 2012, 15:19:20 »
Ahoj, máte někdo zkušenosti s hackováním Java Virtual Machine? Zajímám se o to, protože potřebuji ukládat citlivá data v klientské aplikaci a tato data by měla zůstat nezměněna (měnit je může pouze klientská aplikace). Lze se nabourat do JVM a přepisovat její paměť?

Byl bych rád za osobní zkušenosti i za doporučenou literaturu.


branchman2

Re:Hackování JVM
« Odpověď #1 kdy: 03. 04. 2012, 15:34:16 »
Ked ma utocnik roota, tak si nepomozes. Ked ho nema, tak by bolo dobre, aby nemal ani uzivatelsky ucet uzivatela, pod ktorym bezi JVM - teraz neviem, ako vyzera ne-hardened kernel bez dalsich LSM, ale je mozne, ze to dovoluje, aby jeden proces cital/prepisoval pamat ineho procesu toho isteho uzivatela.

Dalej ta proti utoku chrani system alebo JVM. Diera v lubovolnej z tychto 2 veci moze dovolit (napriklad pomocou buffer overflow) prave to, co nechces. To iste moze nastat aj pri chybe v logike aplikacie.
Takze riesenie je - pouzivaj aktualne verzie, ale na 100% bezpecnost sa radsej ani tak nespoliehaj. Ak si chces trochu pomoct, tak nasad napriklad Hardened Gentoo alebo OpenBSD, istotu ale ani tak mat nebudes.

hu

Re:Hackování JVM
« Odpověď #2 kdy: 03. 04. 2012, 15:55:43 »
Ahoj, máte někdo zkušenosti s hackováním Java Virtual Machine? Zajímám se o to, protože potřebuji ukládat citlivá data v klientské aplikaci a tato data by měla zůstat nezměněna (měnit je může pouze klientská aplikace). Lze se nabourat do JVM a přepisovat její paměť?

Byl bych rád za osobní zkušenosti i za doporučenou literaturu.

Jak ma pocitac FireWire, tak je veskera snaha marna :-)
http://www.mjmwired.net/kernel/Documentation/debugging-via-ohci1394.txt

Sten

Re:Hackování JVM
« Odpověď #3 kdy: 03. 04. 2012, 16:09:20 »
Do JVM se lze nabourat jako do každé aplikace. Otázka je, proti komu chcete data chránit. Pokud před uživatelem, tak to hodně štěstí. Pokud před viry, tak pořiďte antivirus. Pokud před hackerem ze vzdáleného stroje, tak řešení je citlivá data nedržet v paměti, pokud nejsou potřeba.

PCnity

  • *****
  • 680
    • Zobrazit profil
    • E-mail
Re:Hackování JVM
« Odpověď #4 kdy: 03. 04. 2012, 17:43:32 »
Ak das niekomu software k uzivaniu, ma nad nim plnu kontrolu.
Otazka ale nedefinuje o co konkretne ide, daj hint.


Raskal

Re:Hackování JVM
« Odpověď #5 kdy: 04. 04. 2012, 00:58:32 »
Pokud to nemusi byt pure Java, tak co to schovat do .so nebo .dll s volat s pouzitim JNI? Tim se muze dostatecne snizit riziko rejpani se zakaznika v aplikaci.

petr

Re:Hackování JVM
« Odpověď #6 kdy: 04. 04. 2012, 08:59:50 »
Pro podrobnější nastavení bezpečnosti v JVM se dá použít http://docs.oracle.com/javase/7/docs/api/java/lang/SecurityManager.html.Ale pokud má někdo roota, tak si to může vypnout. Nebo pokud nechceš aby se někdo rýpal v aplikaci, tak použít nějaký obfuskátor http://proguard.sourceforge.net/.

Pokud to nemusi byt pure Java, tak co to schovat do .so nebo .dll s volat s pouzitim JNI? Tim se muze dostatecne snizit riziko rejpani se zakaznika v aplikaci.
.
Tím se ale nezvýší bezpečnost, protože dynamické knihovny se dají dekompilovat stejně snadno jako javovské class soubory.

Fen

Re:Hackování JVM
« Odpověď #7 kdy: 04. 04. 2012, 14:07:50 »
Děkuji za odkazy i inspiraci. Zřejmě je špatný nápad snažit se uchovávat data u uživatele.