Миналият уикенд беше лош момент да бъдеш администратор на сървър. В Apache Log4j се появи критична уязвимост. Големият проблем? Нападателите имат шанса да експлоатират пакета Java с отворен код, който всички видове приложения, от Twitter до iCloud, използват за изпълнение на всеки код, който нападателят избере.
Колкото и страшно да звучи.
Какво означава експлойтът на Apache Log4j за вас и мен
Говорих с изследователя по киберсигурност Джон Хамънд от Huntress Labs за експлоата и последвалата борба за смекчаване на щетите. Хамънд пресъздаде експлойта на сървър на Minecraft за своя канал в YouTube и резултатите бяха експлозивни.
Въпрос: Какъв е този експлойт? Можеш ли да обясниш какво се случва с лаици?
О: Този експлойт позволява на лошите актьори да получат контрол над компютър с един ред текст. Казано на лаици, лог файлът извлича нов запис, но се случва да чете и действително изпълнява данни в регистрационния файл. Със специално изработен вход компютърът жертва ще се свърже с отделно злонамерено устройство, за да изтегли и изпълни всякакви злобни действия, които противникът е подготвил.
Въпрос: Колко трудно беше да се възпроизведе този експлойт в Minecraft?
О: Тази уязвимост и експлойт са тривиални за настройка, което я прави много привлекателна опция за лоши актьори. Аз съм демонстрирал видео инструкции, демонстриращо как това е пресъздадено в Minecraft, а настройването на „перспективата на нападателя“ отнема може би 10 минути, ако знаят какво правят и от какво се нуждаят.
Въпрос: Кой е засегнат от това?
О: В крайна сметка всеки е засегнат от това по един или друг начин. Има изключително голям шанс, почти сигурен, всеки човек да взаимодейства с някакъв софтуер или технология, която има скрита някъде тази уязвимост.
Видяхме доказателства за уязвимостта в неща като Amazon, Tesla, Steam, дори Twitter и LinkedIn. За съжаление, ще наблюдаваме въздействието на тази уязвимост за много дълго време, докато някои наследени софтуери може да не се поддържат или да не се изпращат актуализации в наши дни.
Въпрос: Какво трябва да направят засегнатите страни, за да запазят системите си в безопасност?
О: Честно казано, хората трябва да са наясно със софтуера и приложенията, които използват, и дори да направят просто търсене в Google за „[that-software-name] log4j“ и да проверят дали този доставчик или доставчик е споделил някакви съвети за известия относно това ново заплаха.
Тази уязвимост разтърсва целия интернет и ландшафта на сигурността. Хората трябва да изтеглят най-новите актуализации за сигурност от своите доставчици възможно най-бързо, когато са налични, и да бъдат бдителни за приложения, които все още чакат актуализация. И разбира се, сигурността все още се свежда до основните основи, които не можете да забравите: стартирайте солидна антивирусна програма, използвайте дълги, сложни пароли (настоятелно се препоръчва дигитален мениджър на пароли!) и бъдете особено наясно с това, което е представено в пред вас на вашия компютър.
Препоръчано от нашите редактори
Харесва ли ви това, което четете? Ще ви хареса да се доставя във входящата ви поща всяка седмица. Регистрирайте се за бюлетин SecurityWatch.
Ченгета + брокери на данни = правни вратички
Престъпниците в старите филми винаги са знаели как да заобиколят правилната и грешната страна на закона. Ако полицай заплашваше, че ще разбие вратата им, той просто се усмихваше и казваше: „О, да? Върнете се със заповед."
В днешната реалност полицията не трябва да си прави труда да получи заповед за вашите данни, ако може да закупи информацията от брокер на данни. Сега ние не сме от тези, които романтизират нарушаването на законите, но също не харесваме възможни злоупотреби с власт.
Както пише Роб Пегораро от PCMag, брокерите на данни предоставят на правоприлагащите и разузнавателните агенции начини да заобиколят Четвъртата поправка, като позволяват продажбата на събрана информация за частни граждани. ФБР подписа договор с брокер на данни за „предварително следствени дейности“ в един пример.
Благодарение на сложните политики за поверителност на приложенията и условията на брокера на данни, средният американски гражданин вероятно не знае как данните за местоположението на телефона им попадат в база данни на правоприлагащите органи. Това притеснява ли ви? Ако е така, време е да вземете нещата в свои ръце и да спрете събирането на данни при източника. Използвайте функциите за поверителност на местоположението, които Apple и Google предлагат, за да запазите местоположението си в тайна от вас apps. iOS позволява на потребителите да не позволяват на всяко приложение да знае местоположението им, а Android 12 на Google добавя подобни контроли.
Какво друго се случва в света на сигурността тази седмица?
Харесвате това, което четете?
Абонирайте се за Охранителен часовник бюлетин за нашите водещи истории за поверителност и сигурност, доставени направо във вашата пощенска кутия.
Този бюлетин може да съдържа реклами, сделки или партньорски връзки. Абонирането за бюлетин показва вашето съгласие с нашите Условия за ползване намлява Политика за Поверителност. Можете да се отпишете от бюлетините по всяко време.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba