Мінулыя выхадныя былі дрэнным часам для працы адміністратарам сервера. У Apache Log4j з'явілася крытычная ўразлівасць. Вялікая праблема? Зламыснікі маюць магчымасць выкарыстоўваць пакет Java з адкрытым зыходным кодам, які выкарыстоўваюць усе віды прыкладанняў, ад Twitter да iCloud, для выканання любога кода, які выбірае зламыснік.
Гэта так страшна, як гэта гучыць.
Што азначае эксплойт Apache Log4j для вас і мяне
Я размаўляў з даследчыкам кібербяспекі Джонам Хамандам з Huntress Labs пра эксплойт і наступную барацьбу з мэтай змякчэння шкоды. Хаманд аднавіў эксплойт на серверы Minecraft для свайго канала YouTube, і вынікі былі выбуховымі.
Пытанне: Што гэта за эксплойт? Ці можаце вы растлумачыць, што адбываецца, па-простаму?
A: Гэты эксплойт дазваляе дрэнным акцёрам атрымаць кантроль над кампутарам з дапамогай аднаго радка тэксту. Калі казаць непрафесіяналам, файл часопіса атрымлівае новую запіс, але, аказваецца, чытае і фактычна выконвае дадзеныя ў файле часопіса. З дапамогай спецыяльна створанага ўводу кампутар-ахвяра будзе звяртацца да асобнай шкоднаснай прылады і падключацца да яе, каб загрузіць і выканаць любыя мярзотныя дзеянні, падрыхтаваныя праціўнікам.
Пытанне: Наколькі цяжка было паўтарыць гэты эксплойт у Minecraft?
A: Гэтую ўразлівасць і эксплойт наладзіць трывіяльна, што робіць яе вельмі прывабным варыянтам для дрэнных акцёраў. Я прадэманстраваў відэа ўрок, які дэманструе, як гэта было адноўлена ў Minecraft, і «перспектыва зламысніка» займае, можа быць, 10 хвілін, каб наладзіць, калі яны ведаюць, што яны робяць і што ім трэба.
Пытанне: Каго гэта закранула?
A: У канчатковым рахунку, усе так ці інакш закранаюцца гэтым. Існуе надзвычай высокая верагоднасць, амаль упэўненая, што кожны чалавек узаемадзейнічае з нейкім праграмным забеспячэннем або тэхналогіяй, дзе-небудзь схаваная гэтая ўразлівасць.
Мы бачылі доказы ўразлівасці такіх рэчаў, як Amazon, Tesla, Steam, нават Twitter і LinkedIn. На жаль, мы будзем бачыць наступствы гэтай уразлівасці вельмі доўга, у той час як некаторыя састарэлыя праграмы могуць не абслугоўвацца або не абнаўляцца ў гэтыя дні.
Пытанне: Што трэба зрабіць пацярпелым бакам, каб забяспечыць бяспеку сваіх сістэм?
A: Шчыра кажучы, людзі павінны заставацца ў курсе праграмнага забеспячэння і прыкладанняў, якія яны выкарыстоўваюць, і нават зрабіць просты пошук у Google для «[that-software-name] log4j» і праверыць, ці не падзяліўся гэты пастаўшчык або пастаўшчык якія-небудзь рэкамендацыі аб апавяшчэннях адносна гэтага новага пагроза.
Гэтая ўразлівасць ўзрушвае ўвесь Інтэрнэт і ландшафт бяспекі. Людзі павінны загружаць апошнія абнаўленні бяспекі ад сваіх правайдэраў так хутка, як яны будуць даступныя, і захоўваць пільнасць у дачыненні да прыкладанняў, якія ўсё яшчэ чакаюць абнаўлення. І, вядома, бяспека па-ранейшаму зводзіцца да простых асноў, якія вы не можаце забываць: запусціце надзейны антывірус, выкарыстоўвайце доўгія складаныя паролі (настойліва рэкамендуецца дыспетчар лічбавых пароляў!) і асабліва ўважлівайце тое, што прадстаўлена ў перад вамі на вашым кампутары.
Рэкамендавана нашымі рэдактарамі
Падабаецца тое, што вы чытаеце? Вам спадабаецца штотыднёвая дастаўка на ваш паштовую скрыню. Падпішыцеся на рассылку SecurityWatch.
Паліцыянты + брокеры дадзеных = прававыя лазейкі
Злачынцы ў старых фільмах заўсёды разумелі як правільны, так і няправільны бок закона. Калі паліцэйскі пагражаў выламаць іх дзверы, яны проста ўсміхаліся і казалі: «А так? Вяртайцеся з ордэрам».
У сучасных рэаліях паліцыі не трэба турбавацца аб атрыманні ордэра на вашыя даныя, калі яны могуць купіць інфармацыю ў брокера дадзеных. Цяпер мы не з тых, хто рамантызуе парушэнне законаў, але нам таксама не падабаюцца магчымыя злоўжыванні ўладай.
Як піша Роб Пегара з PCMag, брокеры даных забяспечваюць праваахоўным органам і спецслужбам спосабы абыйсці чацвёртую папраўку, дазваляючы прадаваць сабраную інфармацыю аб прыватных асобах. У адным з прыкладаў ФБР падпісала кантракт з брокерам дадзеных на «даследчыя мерапрыемствы».
Дзякуючы складанай палітыцы канфідэнцыяльнасці прыкладанняў і ўмовам брокера даных звычайны амерыканскі грамадзянін, верагодна, не ведае, як дадзеныя аб месцазнаходжанні іх тэлефона трапляюць у базу дадзеных праваахоўных органаў. Вас гэта турбуе? Калі так, то прыйшоў час узяць справу ў свае рукі і спыніць збор даных у крыніцы. Выкарыстоўвайце функцыі канфідэнцыяльнасці месцазнаходжання, якія прапануюць Apple і Google, каб захаваць ваша месцазнаходжанне ў сакрэце apps. iOS дазваляе карыстальнікам не дапускаць любога прыкладання ведаць іх месцазнаходжанне, а Android 12 ад Google дадае падобныя элементы кіравання.
Што яшчэ адбываецца ў свеце бяспекі на гэтым тыдні?
Як тое, што вы чытаеце?
Падпішыцеся на Гадзіннік бяспекі інфармацыйны бюлетэнь для нашых галоўных гісторый канфідэнцыяльнасці і бяспекі дастаўляецца прама на вашу паштовую скрыню.
Гэты інфармацыйны бюлетэнь можа ўтрымліваць рэкламу, прапановы або партнёрскія спасылкі. Падпіска на рассылку азначае вашу згоду на нашу рассылку Умовы выкарыстання і Палітыка прыватнасьці. Вы можаце адмовіцца ад рассылкі навін у любы час.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba