تم عرض استغلال Apache Log4j الحرج في Minecraft

كانت عطلة نهاية الأسبوع الماضية وقتًا سيئًا لكونك مشرفًا على الخادم. ظهرت ثغرة خطيرة في Apache Log4j. المشكلة الكبيرة؟ يتمتع المهاجمون بفرصة استغلال حزمة Java مفتوحة المصدر التي تستخدمها جميع أنواع التطبيقات ، من Twitter إلى iCloud ، لتنفيذ أي كود يختاره المهاجم.

هذا مخيف كما يبدو.

ماذا يعني استغلال Apache Log4j لك ولي

لقد تحدثت مع الباحث في الأمن السيبراني جون هاموند من Huntress Labs حول الاستغلال والاندفاع اللاحق للتخفيف من الضرر. أعاد هاموند إنشاء الاستغلال على خادم Minecraft لقناته على YouTube ، وكانت النتائج متفجرة.

شارك على تويتر

س: ما هذا الاستغلال؟ هل يمكنك شرح ما يحدث من منظور الشخص العادي؟

ج: يسمح هذا الاستغلال للممثلين السيئين بالتحكم في جهاز كمبيوتر بسطر واحد من النص. وفقًا لمصطلحات الشخص العادي ، يقوم ملف السجل باسترداد إدخال جديد ولكن يحدث أنه يقرأ وينفذ فعليًا على البيانات الموجودة داخل ملف السجل. باستخدام المدخلات المصممة خصيصًا ، يمكن للكمبيوتر الضحية الوصول إلى جهاز ضار منفصل والاتصال به لتنزيل وتنفيذ أي إجراءات شائنة أعدها الخصم.

س: ما مدى صعوبة تكرار هذا الاستغلال في Minecraft؟

ج: هذه الثغرة الأمنية والاستغلال أمر تافه الإعداد ، مما يجعله خيارًا جذابًا للغاية للممثلين السيئين. لقد عرضت مقطع فيديو يوضح كيفية إعادة إنشاء هذا في Minecraft، و "منظور المهاجم" ربما يستغرق 10 دقائق للإعداد إذا كانوا يعرفون ما يخططون له وما يحتاجون إليه.

س: من يتأثر بهذا؟

ج: في النهاية ، يتأثر الجميع بهذا بطريقة أو بأخرى. هناك احتمال كبير للغاية ، شبه مؤكد ، أن يتفاعل كل شخص مع بعض البرامج أو التكنولوجيا التي تحتوي على هذه الثغرة الأمنية في مكان ما. 

لقد رأينا أدلة على الضعف في أشياء مثل Amazon و Tesla و Steam وحتى Twitter و LinkedIn. لسوء الحظ ، سنرى تأثير هذه الثغرة الأمنية لفترة طويلة جدًا ، بينما قد لا يتم صيانة بعض البرامج القديمة أو دفع التحديثات هذه الأيام.

س: ما الذي يتعين على الأطراف المتأثرة فعله للحفاظ على أنظمتها آمنة؟

ج: بصراحة ، يجب أن يظل الأفراد على دراية بالبرامج والتطبيقات التي يستخدمونها ، وحتى إجراء بحث بسيط في Google عن "[اسم البرنامج هذا] log4j" وتحقق مما إذا كان هذا البائع أو المزود قد شارك أي تنبيهات للإشعارات المتعلقة بهذا الجديد تهديد. 

تعمل هذه الثغرة الأمنية على زعزعة المشهد الأمني ​​والإنترنت بالكامل. يجب على الأشخاص تنزيل آخر تحديثات الأمان من مزوديهم بأسرع ما تكون متوفرة وأن يظلوا يقظين بشأن التطبيقات التي لا تزال في انتظار التحديث. وبالطبع ، لا يزال الأمان يتلخص في الأساسيات الأساسية التي لا يمكنك نسيانها: تشغيل برنامج مكافحة فيروسات قوي ، واستخدام كلمات مرور طويلة ومعقدة (يوصى بشدة باستخدام مدير كلمات مرور رقمي!) ، وكن على دراية خاصة بما يتم تقديمه في أمامك على جهاز الكمبيوتر الخاص بك.

مثل ما تقرأ؟ ستحب توصيله إلى صندوق الوارد الخاص بك أسبوعيًا. اشترك في النشرة الإخبارية SecurityWatch.

رجال الشرطة + وسطاء البيانات = ثغرات قانونية

لطالما عرف المجرمون في الأفلام القديمة طريقهم للالتفاف على جانبي القانون الصحيح والخطأ. إذا هدد ضابط شرطة بكسر باب منزلهم ، فإنهم يبتسمون ويقولون ، "أوه نعم؟ عد بأمر قضائي ".

في واقع اليوم ، لا تحتاج الشرطة إلى عناء الحصول على أمر ببياناتك إذا كان بإمكانها شراء المعلومات من وسيط بيانات. الآن ، نحن لسنا من يضفي طابعًا رومانسيًا على خرق القانون ، لكننا لا نحب أيضًا إساءة استخدام السلطة.

كما كتب Rob Pegoraro من PCMag ، يوفر وسطاء البيانات وكالات إنفاذ القانون والاستخبارات طرقًا للالتفاف على التعديل الرابع من خلال السماح ببيع المعلومات التي تم جمعها عن المواطنين العاديين. وقع مكتب التحقيقات الفيدرالي عقدًا مع وسيط بيانات من أجل "أنشطة ما قبل التحقيق" في أحد الأمثلة.

بفضل سياسات خصوصية التطبيق المعقدة وشروط وأحكام وسيط البيانات ، ربما لا يعرف المواطن الأمريكي العادي كيف تدخل بيانات موقع هواتفه في قاعدة بيانات تطبيق القانون. هل هذا يزعجك؟ إذا كان الأمر كذلك ، فقد حان الوقت لأخذ الأمور بين يديك وإيقاف جمع البيانات من المصدر. استخدم ميزات خصوصية الموقع التي تقدمها Apple و Google للحفاظ على سرية موقعك عنك apps. يتيح iOS للمستخدمين منع أي تطبيق من معرفة موقعهم ، ويضيف Android 12 من Google عناصر تحكم مماثلة.

ماذا يحدث أيضًا في عالم الأمان هذا الأسبوع؟