Minulý víkend byl špatný čas být správcem serveru. V Apache Log4j se objevila kritická zranitelnost. Velký problém? Útočníci mají možnost využít open-source Java balíček, který všechny druhy aplikací, od Twitteru po iCloud, používají ke spuštění libovolného kódu, který si útočník zvolí.
Je to tak děsivé, jak to zní.
Co pro vás a pro mě znamená Apache Log4j Exploit
Mluvil jsem s výzkumníkem v oblasti kybernetické bezpečnosti Johnem Hammondem z Huntress Labs o zneužití a následném úsilí o zmírnění škod. Hammond znovu vytvořil exploit na serveru Minecraft pro svůj kanál YouTube a výsledky byly výbušné.
Otázka: Co je to exploit? Můžete laicky vysvětlit, co se děje?
Odpověď: Tento exploit umožňuje špatným hercům získat kontrolu nad počítačem pomocí jediného řádku textu. Laicky řečeno, soubor protokolu načítá nový záznam, ale náhodou čte a skutečně provádí data v souboru protokolu. Se speciálně vytvořeným vstupem by počítač oběti sáhl a připojil se k samostatnému škodlivému zařízení, aby si stáhl a provedl jakoukoli nekalou akci, kterou protivník připravil.
Otázka: Jak těžké bylo replikovat tento exploit v Minecraftu?
A: Nastavení této zranitelnosti a exploitu je triviální, což z ní dělá velmi atraktivní možnost pro špatné herce. předvedl jsem video návod, který ukazuje, jak to bylo znovu vytvořeno v Minecraftua nastavení „útočníkovy perspektivy“ trvá možná 10 minut, pokud vědí, na čem jsou a co potřebují.
Q: Koho se to týká?
A: Nakonec je to tak či onak ovlivněno každého. Existuje extrémně vysoká pravděpodobnost, téměř jistá, že každý člověk interaguje s nějakým softwarem nebo technologií, která má tuto zranitelnost někde zastrčenou.
Viděli jsme důkazy o zranitelnosti ve věcech jako Amazon, Tesla, Steam, dokonce i Twitter a LinkedIn. Dopad této zranitelnosti budeme bohužel svědky ještě velmi dlouhou dobu, zatímco některý starší software nemusí být v těchto dnech udržován nebo vytlačovat aktualizace.
Otázka: Co musí dotčené strany udělat, aby byly jejich systémy v bezpečí?
Odpověď: Upřímně řečeno, jednotlivci by si měli být vědomi softwaru a aplikací, které používají, a dokonce by měli jednoduše vyhledat na Googlu „[ten-software-name] log4j“ a zkontrolovat, zda daný prodejce nebo poskytovatel nesdílel nějaká upozornění ohledně upozornění ohledně tohoto nového ohrožení.
Tato zranitelnost otřásá celým internetem a bezpečnostním prostředím. Lidé by si měli stáhnout nejnovější aktualizace zabezpečení od svých poskytovatelů tak rychle, jak jsou k dispozici, a zůstat ostražití u aplikací, které stále čekají na aktualizaci. A samozřejmě, zabezpečení se stále scvrkává na holé základy, na které nemůžete zapomenout: provozujte spolehlivý antivirus, používejte dlouhá a složitá hesla (důrazně doporučujeme správce digitálních hesel!) a dávejte si pozor zejména na to, co je uvedeno v před vámi na vašem počítači.
Doporučeno našimi redaktory
Jako to, co čteš? Bude se vám líbit, když bude každý týden doručován do vaší schránky. Přihlaste se k odběru zpravodaje SecurityWatch.
Policajti + zprostředkovatelé dat = právní mezery
Zločinci ve starých filmech vždy věděli, jak obejít správnou i špatnou stranu zákona. Kdyby policista pohrozil, že jim rozrazí dveře, jen by se ušklíbli a řekli: „Ano? Vrať se se zatykačem."
V dnešní realitě se policie nemusí obtěžovat získáním zatykače na vaše data, pokud může koupit informace od zprostředkovatele dat. Nejsme těmi, kdo by romantizovali porušování zákonů, ale nelíbí se nám ani možné zneužití moci.
Jak píše Rob Pegoraro z PCMag, zprostředkovatelé dat poskytují vymáhání práva a zpravodajským agenturám způsoby, jak obejít čtvrtý dodatek tím, že umožňují prodej informací shromážděných o soukromých občanech. FBI v jednom příkladu podepsala smlouvu s zprostředkovatelem dat na „předvyšetřovací činnosti“.
Díky spletitým zásadám ochrany osobních údajů aplikací a smluvním podmínkám zprostředkovatele dat průměrný americký občan pravděpodobně neví, jak se údaje o poloze jejich telefonu dostanou do databáze pro vymáhání práva. Vadí ti to? Pokud ano, je čas vzít věci do vlastních rukou a zastavit sběr dat u zdroje. Použijte funkce ochrany soukromí, které Apple a Google nabízejí, abyste svou polohu utajili apps. iOS umožňuje uživatelům zabránit jakékoli aplikaci znát jejich polohu a Android 12 od Googlu přidává podobné ovládací prvky.
Co dalšího se tento týden děje ve světě bezpečnosti?
Jako Co čtete?
Zaregistrujte se Bezpečnostní hlídka newsletter pro naše nejlepší příběhy o ochraně soukromí a zabezpečení doručené přímo do vaší schránky.
Tento newsletter může obsahovat reklamy, nabídky nebo přidružené odkazy. Přihlášením k odběru newsletteru vyjadřujete svůj souhlas s naším Podmínky použití a Zásady ochrany osobních údajů. Z odběru newsletterů se můžete kdykoli odhlásit.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba