home *** CD-ROM | disk | FTP | other *** search
/ Hacks & Cracks / Hacks_and_Cracks.iso / hackersclub / km / news / 1996 / nov / hack13.txt < prev    next >
Text File  |  1998-03-25  |  8KB  |  156 lines
  1. [=-------------------------------------------------------------------------=]
  2.  
  3. title: JAVA BLACK WIDOWS - SUN DECLARES WAR
  4. author: unknown
  5. from: staff@hpp.com
  6.  
  7.  
  8. Sun Microsystems' has declared war on Black Widow Java
  9. applets on the Web. This is the message from Sun in response
  10. to an extensive Online Business Consultant (OBC/May 96)
  11. investigation into Java security.
  12.  
  13. OBC's investigation and report was prompted after renowned
  14. academics, scientists and hackers announced Java applets
  15. downloaded from the WWW presented grave security risks for
  16. users. Java Black Widow applets are hostile, malicious traps set
  17. by cyberthugs out to snare surfing prey, using Java as their technology.
  18. OBC received a deluge of letters asking for facts after OBC
  19. announced a group of scientists from Princeton University, Drew
  20. Dean, Edward Felten and Dan Wallach, published a paper declaring
  21. "The Java system in its current form cannot easily be made secure."
  22. The paper can be retrieved at
  23. http://www.cs.princeton.edu/sip/pub/secure96.html.
  24.  
  25. Further probing by OBC found that innocent surfers on the Web who
  26. download Java applets into Netscape's Navigator and Sun's
  27. HotJava browser, risk having "hostile" applets interfere with their
  28. computers (consuming RAM and CPU cycles). It was also discovered
  29. applets could connect to a third party on the Internet and, without the
  30. PC owner's knowledge, upload sensitive information from the user's
  31. computer. Even the most sophisticated firewalls can be penetrated . . .
  32. "because the attack is launched from behind the firewall," said the
  33. Princeton scientists.
  34.  
  35. One reader said, "I had no idea that it was possible to stumble on
  36. Web sites that could launch an attack on a browser."  Another said,
  37. "If this is allowed to get out of hand it will drive people away from the
  38. Web. Sun must allay fears."
  39.  
  40. [* Faster connections if people are driven from the web.. hmm... :) *]
  41.  
  42. The response to the Home Page Press hostile applet survey led to the
  43. analogy of Black Widow; that the Web was a dangerous place where
  44. "black widows" lurked to snare innocent surfers. As a result the
  45. Princeton group and OBC recommended users should "switch off"
  46. Java support in their Netscape Navigator browsers. OBC felt that Sun
  47. and Netscape had still to come clean on the security issues. But
  48. according to Netscape's Product Manager, Platform, Steve Thomas,
  49. "Netscape wishes to make it clear that all known security problems with
  50. the Navigator Java and JavaScript environment are fixed in Navigator
  51. version 2.02."
  52.  
  53. However, to date, Netscape has not answered OBC's direct questions
  54. regarding a patch for its earlier versions of Navigator that supported
  55. Java . . . the equivalent of a product recall in the 3D world. Netscape
  56. admits that flaws in its browsers from version 2.00 upwards were
  57. related to the Java security problems, but these browsers are still in use
  58. and can be bought from stores such as CompUSA and Cosco. A floor
  59. manager at CompUSA, who asked not to be named, said "its news to
  60. him that we are selling defective software. The Navigator walks off our
  61. floor at $34 a pop."
  62.  
  63. OBC advised Netscape the defective software was still selling at
  64. software outlets around the world and asked Netscape what action was
  65. going to be taken in this regard. Netscape has come under fire recently
  66. for its policy of not releasing patches to software defects; but rather
  67. forcing users to download new versions. Users report this task to be a
  68. huge waste of time and resources because each download consists of
  69. several Mbytes. As such defective Navigators don't get patched.
  70.  
  71. OBC also interviewed Sun's JavaSoft security guru, Ms. Marianne Mueller,
  72. who said "we are taking security very seriously and working on it very
  73. hard." Mueller said the tenet that Java had to be re-written from scratch or
  74. scrapped "is an oversimplification of the challenge of running executable
  75. content safely on the web. Security is hard and subtle, and trying to build
  76. a secure "sandbox" [paradigm] for running untrusted downloaded applets
  77. on the web is hard."
  78.  
  79. Ms. Mueller says Sun, together with their JavaSoft (Sun's Java division)
  80. partners, have proposed a "sandbox model" for security in which "we
  81. define a set of policies that restrict what applets can and cannot do---these
  82. are the boundaries of the sandbox. We implement boundary checks---when
  83. an applet tries to cross the boundary, we check whether or not it's allowed
  84. to. If it's allowed to, then the applet is allowed on its way. If not, the
  85. system throws a security exception.
  86.  
  87. "The 'deciding whether or not to allow the boundary to be crossed' is the
  88. research area that I believe the Princeton people are working on," said
  89. Mueller. "One way to allow applets additional flexibility is if the applet
  90. is signed (for example, has a digital signature so that the identity of the
  91. applet's distributor can be verified via a Certificate Authority) then allow
  92. the applet more flexibility.
  93.  
  94.  "There are two approaches: One approach is to let the signed applet
  95. do anything. A second approach is to do something more complex and
  96. more subtle, and only allow the applet particular specified capabilities.
  97. Expressing and granting capabilities can be done in a variety of ways.
  98.  
  99. "Denial of service is traditionally considered one of the hardest security
  100. problems, from a practical point of view. As [Java's creator] James
  101. Gosling says, it's hard to tell the difference between an MPEG
  102. decompressor and a hostile applet that consumes too many resources!
  103. But recognizing the difficulty of the problem is not the same as 'passing
  104. the buck.' We are working on ways to better monitor and control the
  105. use (or abuse) of resources by Java classes. We could try to enforce
  106. some resource limits, for example. These are things we are investigating.
  107.  
  108. "In addition, we could put mechanisms in place so that user interface
  109. people (like people who do Web browsers) could add 'applet monitors'
  110. so that browser users could at least see what is running in their browser,
  111. and kill off stray applets. This kind of user interface friendliness (letting
  112. a user kill of an applet) is only useful if the applet hasn't already grabbed
  113. all the resources, of course."
  114.  
  115. The experts don't believe that the problem of black widows and hostile
  116. applets is going to go away in a hurry. In fact it may get worse. The
  117. hackers believe that when Microsoft releases Internet Explorer 3.00 with
  118. support for Java, Visual Basic scripting and the added power of its
  119. ActiveX technology, the security problem will become worse.
  120.  
  121. "There is opportunity for abuse, and it will become an enormous
  122. problem," said Stephen Cobb, Director of Special Projects for the
  123. National Computer Security Association (NCSA). "For example, OLE
  124. technology from Microsoft [ActiveX] has even deeper access to a
  125. computer than Java does."
  126.  
  127. JavaSoft's security guru Mueller agreed on the abuse issue: "It's going
  128. to be a process of education for people to understand the difference
  129. between a rude applet, and a serious security bug, and a theoretical
  130. security bug, and an inconsequential security-related bug. In the case of
  131. hostile applets, people will learn about nasty/rude applet pages, and
  132. those pages won't be visited. I understand that new users of the Web
  133. often feel they don't know where they're going when they point and click,
  134. but people do get a good feel for how it works, pretty quickly, and I
  135. actually think most users of the Web can deal with the knowledge that
  136. not every page on the web is necessarily one they'd want to visit.
  137. Security on the web in some sense isn't all that different from security
  138. in ordinary life. At some level, common sense does come into play.
  139.  
  140. "Many people feel that Java is a good tool for building more secure
  141. applications. I like to say that Java raises the bar for security on the
  142. Internet. We're trying to do something that is not necessarily easy, but
  143. that doesn't mean it isn't worth trying to do. In fact it may be worth
  144. trying to do because it isn't easy.  People are interested in seeing the
  145. software industry evolve towards more robust software---that's the
  146. feedback I get from folks on the Net."
  147.  
  148. # # #
  149.  
  150. The report above may be reprinted with credit provided as follows:
  151.  
  152. Home Page Press, Inc.,  http://www.hpp.com  and Online Business ConsultantOE
  153. Please refer to the HPP Web site for additional information about Java and
  154. OBC.
  155.  
  156.