Sidste weekend var et dårligt tidspunkt at være serveradministrator på. En kritisk sårbarhed dukkede op i Apache Log4j. Det store problem? Angribere har chancen for at udnytte open source Java-pakken, som alle slags applikationer, fra Twitter til iCloud, bruger til at udføre enhver kode, en angriber vælger.
Det er lige så skræmmende, som det lyder.
Hvad Apache Log4j-udnyttelsen betyder for dig og mig
Jeg talte med cybersikkerhedsforsker John Hammond fra Huntress Labs om udnyttelsen og den efterfølgende kamp for at afbøde skaden. Hammond genskabte udnyttelsen på en Minecraft-server til sin YouTube-kanal, og resultaterne var eksplosive.
Q: Hvad er denne udnyttelse? Kan du forklare, hvad der sker i lægmandssprog?
A: Denne udnyttelse giver dårlige skuespillere mulighed for at få kontrol over en computer med en enkelt tekstlinje. I lægmandssprog henter en logfil en ny post, men den læser og udfører faktisk data inde i logfilen. Med specifikt udformet input ville en offercomputer nå ud til og oprette forbindelse til en separat ondsindet enhed for at downloade og udføre alle ondsindede handlinger, som modstanderen har forberedt.
Q: Hvor svært var det at kopiere denne udnyttelse i Minecraft?
A: Denne sårbarhed og udnyttelse er triviel at sætte op, hvilket gør den til en meget attraktiv mulighed for dårlige skuespillere. Jeg har fremvist en videogennemgang, der viser, hvordan dette blev genskabt i Minecraft, og "angriberens perspektiv" tager måske 10 minutter at sætte op, hvis de ved, hvad de har gang i, og hvad de har brug for.
Q: Hvem er berørt af dette?
A: I sidste ende er alle påvirket af dette på en eller anden måde. Der er en ekstrem stor chance, næsten sikker, at enhver person interagerer med noget software eller teknologi, der har denne sårbarhed gemt væk et sted.
Vi har set beviser for sårbarheden i ting som Amazon, Tesla, Steam, endda Twitter og LinkedIn. Desværre vil vi se virkningen af denne sårbarhed i meget lang tid, mens noget ældre software muligvis ikke vedligeholdes eller pusher opdateringer i disse dage.
Q: Hvad skal berørte parter gøre for at holde deres systemer sikre?
A: Helt ærligt, enkeltpersoner bør forblive vidende om den software og de applikationer, de bruger, og endda lave en simpel Google-søgning efter "[det-software-navn] log4j" og kontrollere, om den pågældende leverandør eller udbyder har delt nogen meddelelser om meddelelser vedrørende denne nye trussel.
Denne sårbarhed ryster hele internet- og sikkerhedslandskabet. Folk bør downloade de seneste sikkerhedsopdateringer fra deres udbydere, så hurtigt som de er tilgængelige, og forblive på vagt over for applikationer, der stadig afventer en opdatering. Og selvfølgelig koger sikkerheden stadig ned til de bare-bones basics, du ikke kan glemme: Kør et solidt antivirus, brug lange, komplekse adgangskoder (en digital adgangskodemanager anbefales kraftigt!), og vær især opmærksom på, hvad der præsenteres i foran dig på din computer.
Anbefalet af vores redaktører
Kan du lide det, du læser? Du vil elske det leveret til din indbakke ugentligt. Tilmeld dig SecurityWatch nyhedsbrev.
Politi + Datamæglere = Juridiske smuthuller
Kriminelle i gamle film kendte altid til både den rigtige og den forkerte side af loven. Hvis en politibetjent truede med at slå deres dør ned, ville de bare smile og sige: "Åh ja? Kom tilbage med en kendelse."
I nutidens virkelighed behøver politiet ikke besvære at få en kendelse om dine data, hvis de kan købe oplysningerne fra en datamægler. Nu er det ikke os, der skal romantisere lovbrud, men vi kan heller ikke lide muligt magtmisbrug.
Som PCMags Rob Pegoraro skriver, tilbyder datamæglere retshåndhævelses- og efterretningsbureauer måder at komme uden om den fjerde ændring ved at tillade salg af oplysninger indsamlet om private borgere. FBI underskrev en kontrakt med en datamægler om "præ-efterforskningsaktiviteter" i et eksempel.
Takket være indviklede app-privatlivspolitikker og datamæglers vilkår og betingelser ved den gennemsnitlige amerikanske borger sandsynligvis ikke, hvordan deres telefons placeringsdata kommer ind i en retshåndhævelsesdatabase. generer det dig? Hvis ja, er det tid til at tage sagen i egen hånd og stoppe dataindsamlingen ved kilden. Brug placeringsbeskyttelsesfunktionerne Apple og Google tilbyder til at holde din placering hemmelig for din apps. iOS lader brugere forhindre enhver app i at kende deres placering, og Googles Android 12 tilføjer lignende kontroller.
Hvad sker der ellers i sikkerhedsverdenen i denne uge?
Ligesom hvad du læser?
Tilmeld dig Sikkerhedsvagt nyhedsbrev for vores bedste historier om privatliv og sikkerhed leveret direkte til din indbakke.
Dette nyhedsbrev kan indeholde annoncer, tilbud eller affiliate links. At abonnere på et nyhedsbrev angiver dit samtykke til vores Betingelser for brug , Privatlivspolitik. Du kan til enhver tid afmelde nyhedsbrevene.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba