Das letzte Wochenende war eine schlechte Zeit für den Job als Serveradministrator. In Apache Log4j ist eine kritische Sicherheitslücke aufgetreten. Das große Problem? Angreifer haben die Möglichkeit, das Open-Source-Java-Paket auszunutzen, das alle Arten von Anwendungen, von Twitter bis iCloud, verwenden, um jeden vom Angreifer ausgewählten Code auszuführen.
Das ist genauso beängstigend, wie es klingt.
Was der Apache Log4j-Exploit für Sie und mich bedeutet
Ich habe mit dem Cybersicherheitsforscher John Hammond von Huntress Labs über den Exploit und die anschließenden Bemühungen zur Schadensbegrenzung gesprochen. Hammond hat den Exploit auf einem Minecraft-Server für seinen YouTube-Kanal nachgebildet, und die Ergebnisse waren explosiv.
F: Was ist dieser Exploit? Können Sie mit Laienbegriffen erklären, was passiert?
A: Dieser Exploit ermöglicht es Angreifern, mit einer einzigen Textzeile die Kontrolle über einen Computer zu erlangen. Laienhaft ausgedrückt: Eine Protokolldatei ruft einen neuen Eintrag ab, liest aber zufällig Daten in der Protokolldatei und führt sie tatsächlich aus. Mit einer speziell gestalteten Eingabe greift der Computer des Opfers auf ein separates bösartiges Gerät zu und verbindet sich mit diesem, um alle schädlichen Aktionen, die der Angreifer vorbereitet hat, herunterzuladen und auszuführen.
F: Wie schwierig war es, diesen Exploit in Minecraft zu reproduzieren?
A: Diese Schwachstelle und dieser Exploit lassen sich einfach einrichten, was sie zu einer sehr attraktiven Option für böswillige Akteure macht. Ich habe präsentiert Eine Video-Komplettlösung, die zeigt, wie dies in Minecraft nachgebildet wurde, und die „Angreiferperspektive“ braucht vielleicht 10 Minuten, um sie einzurichten, wenn sie weiß, was sie vorhat und was sie braucht.
F: Wer ist davon betroffen?
A: Letztlich ist jeder auf die eine oder andere Weise davon betroffen. Die Wahrscheinlichkeit ist sehr hoch und fast sicher, dass jede Person mit einer Software oder Technologie interagiert, in der diese Schwachstelle irgendwo versteckt ist.
Wir haben Hinweise auf die Sicherheitslücke bei Dingen wie Amazon, Tesla, Steam, sogar Twitter und LinkedIn gesehen. Leider werden wir die Auswirkungen dieser Schwachstelle noch sehr lange spüren, da einige ältere Software heutzutage möglicherweise nicht mehr gewartet wird oder Updates nicht mehr pusht.
F: Was müssen betroffene Parteien tun, um die Sicherheit ihrer Systeme zu gewährleisten?
A: Ehrlich gesagt, Einzelpersonen sollten sich über die von ihnen verwendete Software und Anwendungen im Klaren sein und sogar eine einfache Google-Suche nach „[dieser-Softwarename] log4j“ durchführen und prüfen, ob dieser Anbieter oder Anbieter Hinweise für Benachrichtigungen zu dieser Neuerung veröffentlicht hat Gefahr.
Diese Sicherheitslücke erschüttert die gesamte Internet- und Sicherheitslandschaft. Benutzer sollten die neuesten Sicherheitsupdates von ihren Anbietern herunterladen, sobald diese verfügbar sind, und bei Anwendungen, die noch auf ein Update warten, wachsam bleiben. Und natürlich läuft die Sicherheit immer noch auf die grundlegenden Grundlagen hinaus, die Sie nicht vergessen dürfen: Führen Sie ein solides Antivirenprogramm aus, verwenden Sie lange, komplexe Passwörter (ein digitaler Passwort-Manager wird dringend empfohlen!), und achten Sie besonders darauf, was in angezeigt wird vor Ihnen auf Ihrem Computer.
Von unseren Redakteuren empfohlen
Gefällt Ihnen, was Sie lesen? Sie werden es lieben, dass es wöchentlich in Ihren Posteingang geliefert wird. Melden Sie sich für den SecurityWatch-Newsletter an.
Polizisten + Datenbroker = Gesetzeslücken
Kriminelle in alten Filmen kannten sich immer sowohl mit der richtigen als auch mit der falschen Seite des Gesetzes aus. Wenn ein Polizist drohte, ihre Tür einzubrechen, grinsten sie nur und sagten: „Oh ja? Kommen Sie mit einem Durchsuchungsbefehl zurück.“
In der heutigen Realität muss sich die Polizei nicht mehr darum kümmern, einen Durchsuchungsbefehl für Ihre Daten zu erwirken, wenn sie die Informationen von einem Datenbroker kaufen kann. Nun sind wir nicht diejenigen, die Gesetzesverstöße romantisieren, aber wir mögen auch keinen möglichen Machtmissbrauch.
Wie Rob Pegoraro von PCMag schreibt, bieten Datenbroker Strafverfolgungs- und Geheimdiensten Möglichkeiten, den Vierten Verfassungszusatz zu umgehen, indem sie den Verkauf von über Privatpersonen gesammelten Informationen ermöglichen. In einem Beispiel unterzeichnete das FBI einen Vertrag mit einem Datenbroker für „vorermittelnde Aktivitäten“.
Dank komplizierter App-Datenschutzrichtlinien und Datenbroker-Geschäftsbedingungen weiß der durchschnittliche amerikanische Bürger wahrscheinlich nicht, wie die Standortdaten seines Telefons in eine Strafverfolgungsdatenbank gelangen. Stört dich das? Wenn ja, ist es an der Zeit, die Sache selbst in die Hand zu nehmen und die Datenerfassung an der Quelle zu stoppen. Nutzen Sie die Standortdatenschutzfunktionen von Apple und Google, um Ihren Standort vor Ihnen geheim zu halten apps. Mit iOS können Benutzer verhindern, dass Apps ihren Standort erfahren, und Android 12 von Google fügt ähnliche Steuerelemente hinzu.
Was passiert diese Woche sonst noch in der Sicherheitswelt?
Gefällt dir, was du liest?
Für e-news registrieren Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, stimmen Sie unserer Einwilligung zu Nutzungsbedingungen und Datenschutzbestimmungen. Sie können den Newsletter jederzeit abbestellen.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba