Prošli vikend je bio loš trenutak da budete administrator servera. Kritična ranjivost pojavila se u Apache Log4j. Veliki problem? Napadači imaju priliku da iskoriste Java paket otvorenog koda koji sve vrste aplikacija, od Twittera do iClouda, koriste za izvršavanje bilo kojeg koda koji napadač odabere.
To je strašno koliko god zvučalo.
Šta eksploatacija Apache Log4j znači za vas i mene
Razgovarao sam s istraživačem kibernetičke sigurnosti Johnom Hammondom iz Huntress Labsa o eksploataciji i naknadnoj borbi za ublažavanje štete. Hammond je rekreirao eksploataciju na Minecraft serveru za svoj YouTube kanal, a rezultati su bili eksplozivni.
P: Šta je ovo eksploatacija? Možete li laički objasniti šta se dešava?
O: Ova eksploatacija omogućava lošim akterima da preuzmu kontrolu nad računarom pomoću jednog reda teksta. Laički rečeno, datoteka evidencije preuzima novi unos, ali se dešava da čita i zapravo izvršava podatke unutar datoteke dnevnika. Sa posebno kreiranim ulazom, računar žrtve bi posegnuo i povezao se sa zasebnim zlonamjernim uređajem kako bi preuzeo i izvršio sve zlobne radnje koje je protivnik pripremio.
P: Koliko je bilo teško ponoviti ovaj eksploat u Minecraft-u?
O: Ovu ranjivost i eksploataciju je trivijalno postaviti, što je čini vrlo atraktivnom opcijom za loše glumce. Ja sam izložio video vodič koji pokazuje kako je ovo ponovo kreirano u Minecraftu, a "perspektivi napadača" potrebno je možda 10 minuta da se postavi ako znaju šta rade i šta im treba.
P: Koga ovo pogađa?
O: Na kraju krajeva, svi su pogođeni ovim na ovaj ili onaj način. Postoji izuzetno velika šansa, gotovo izvjesna, da svaka osoba stupi u interakciju s nekim softverom ili tehnologijom koja ima tu ranjivost negdje skrivenu.
Vidjeli smo dokaze ranjivosti u stvarima kao što su Amazon, Tesla, Steam, čak i Twitter i LinkedIn. Nažalost, vidjet ćemo posljedice ove ranjivosti još dugo vremena, dok neki zastarjeli softver možda neće biti održavan ili će se ažurirati ovih dana.
P: Šta pogođene strane treba da urade kako bi očuvale sigurnost svojih sistema?
O: Iskreno, pojedinci bi trebali ostati svjesni softvera i aplikacija koje koriste, pa čak i jednostavno pretražiti Google za “[ime-softvera] log4j” i provjeriti da li je taj dobavljač ili provajder podijelio bilo kakve savjete za obavještenja u vezi s ovim novim prijetnja.
Ova ranjivost potresa čitav internet i sigurnosni krajolik. Ljudi bi trebali preuzeti najnovija sigurnosna ažuriranja od svojih provajdera čim budu dostupna i biti oprezni u pogledu aplikacija koje još uvijek čekaju ažuriranje. I naravno, sigurnost se i dalje svodi na osnovne osnove koje ne možete zaboraviti: pokrenite solidan antivirus, koristite duge, složene lozinke (upravitelj digitalnih lozinki se toplo preporučuje!) i budite posebno svjesni onoga što je predstavljeno u ispred vas na vašem računaru.
Preporučeno od strane naših urednika
Sviđa vam se ono što čitate? Svidjet će vam se da vam se dostavlja u inbox svake sedmice. Prijavite se za SecurityWatch bilten.
Policajci + brokeri podataka = pravne rupe
Kriminalci u starim filmovima uvijek su znali kako da zaobiđu i pravu i pogrešnu stranu zakona. Ako bi policajac zaprijetio da će im provaliti vrata, oni bi se samo nasmiješili i rekli: „O, da? Vrati se sa nalogom.”
U današnjoj stvarnosti, policija ne mora da se trudi da dobije nalog za vaše podatke ako može da kupi informacije od posrednika podataka. E sad, mi nismo od onih koji romantiziraju kršenje zakona, ali ne volimo ni moguće zloupotrebe ovlasti.
Kako piše Rob Pegoraro iz PCMag-a, posrednici podataka obezbjeđuju organima za provođenje zakona i obavještajnim agencijama načine da zaobiđu Četvrti amandman dozvoljavajući prodaju prikupljenih informacija o privatnim građanima. FBI je potpisao ugovor sa brokerom podataka za “predistražne aktivnosti” u jednom primjeru.
Zahvaljujući zamršenim politikama privatnosti aplikacija i uslovima i odredbama brokera podataka, prosječan američki građanin vjerovatno ne zna kako podaci o lokaciji njihovog telefona dospiju u bazu podataka za provođenje zakona. Da li ti to smeta? Ako je tako, vrijeme je da uzmete stvari u svoje ruke i zaustavite prikupljanje podataka na izvoru. Koristite funkcije privatnosti lokacije koje nude Apple i Google kako bi vaša lokacija bila tajna od vas apps. iOS omogućava korisnicima da spriječi bilo koju aplikaciju od saznanja o njihovoj lokaciji, a Googleov Android 12 dodaje slične kontrole.
Šta se još događa u svijetu sigurnosti ove sedmice?
Sviđa vam se ono što čitate?
Prijavi se za Security Watch bilten za naše vrhunske priče o privatnosti i sigurnosti koji se dostavljaju direktno u vašu pristiglu poštu.
Ovaj bilten može sadržavati oglašavanje, ponude ili partnerske veze. Pretplata na newsletter označava vaš pristanak na naše Pravila korištenja i Politika privatnosti. Možete se odjaviti s biltena u bilo kojem trenutku.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba