Το κρίσιμο Apache Log4j Exploit που επιδεικνύεται στο Minecraft

Το περασμένο Σαββατοκύριακο ήταν μια κακή στιγμή για να είμαι διαχειριστής διακομιστή. Μια κρίσιμη ευπάθεια εμφανίστηκε στο Apache Log4j. Το μεγάλο πρόβλημα; Οι εισβολείς έχουν την ευκαιρία να εκμεταλλευτούν το πακέτο Java ανοιχτού κώδικα που χρησιμοποιούν όλα τα είδη εφαρμογών, από το Twitter έως το iCloud, για να εκτελέσουν οποιονδήποτε κώδικα επιλέξει ένας εισβολέας.

Είναι τόσο τρομακτικό όσο ακούγεται.

Τι σημαίνει το Apache Log4j Exploit για εσάς και εμένα

Μίλησα με τον ερευνητή κυβερνοασφάλειας John Hammond από το Huntress Labs για την εκμετάλλευση και τον επακόλουθο αγώνα για τον μετριασμό της ζημιάς. Ο Hammond αναδημιουργούσε το exploit σε έναν διακομιστή Minecraft για το κανάλι του στο YouTube και τα αποτελέσματα ήταν εκρηκτικά.

Twitter

Ε: Τι είναι αυτό το κατόρθωμα; Μπορείτε να εξηγήσετε τι συμβαίνει με απλούς όρους;

Α: Αυτό το exploit επιτρέπει σε κακούς ηθοποιούς να αποκτήσουν τον έλεγχο ενός υπολογιστή με μία μόνο γραμμή κειμένου. Με απλούς όρους, ένα αρχείο καταγραφής ανακτά μια νέα καταχώρηση, αλλά τυγχάνει να διαβάζει και να εκτελεί στην πραγματικότητα με δεδομένα μέσα στο αρχείο καταγραφής. Με ειδικά διαμορφωμένη είσοδο, ένας υπολογιστής-θύμα θα μπορούσε να προσεγγίσει και να συνδεθεί σε μια ξεχωριστή κακόβουλη συσκευή για να κατεβάσει και να εκτελέσει τυχόν κακόβουλες ενέργειες που έχει προετοιμάσει ο αντίπαλος.

Ε: Πόσο δύσκολο ήταν να αναπαραχθεί αυτό το exploit στο Minecraft;

Α: Αυτή η ευπάθεια και η εκμετάλλευση είναι ασήμαντη στη δημιουργία, γεγονός που την καθιστά μια πολύ ελκυστική επιλογή για κακούς ηθοποιούς. έχω επιδείξει μια περιήγηση βίντεο που δείχνει πώς αυτό αναδημιουργήθηκε στο Minecraft, και η "προοπτική του επιτιθέμενου" διαρκεί ίσως 10 λεπτά για να ρυθμιστεί εάν γνωρίζει τι θέλουν και τι χρειάζονται.

Ε: Ποιος επηρεάζεται από αυτό;

Α: Τελικά, όλοι επηρεάζονται από αυτό με τον ένα ή τον άλλο τρόπο. Υπάρχει μια εξαιρετικά μεγάλη πιθανότητα, σχεδόν βέβαιο, ότι κάθε άτομο αλληλεπιδρά με κάποιο λογισμικό ή τεχνολογία που έχει αυτή την ευπάθεια κρυμμένη κάπου. 

Έχουμε δει στοιχεία για την ευπάθεια σε πράγματα όπως το Amazon, η Tesla, το Steam, ακόμη και το Twitter και το LinkedIn. Δυστυχώς, θα δούμε τον αντίκτυπο αυτής της ευπάθειας για πολύ καιρό, ενώ κάποιο παλαιού τύπου λογισμικό ενδέχεται να μην διατηρηθεί ή να προωθήσει ενημερώσεις αυτές τις μέρες.

Ε: Τι πρέπει να κάνουν τα επηρεαζόμενα μέρη για να διατηρήσουν τα συστήματά τους ασφαλή;

Α: Ειλικρινά, τα άτομα θα πρέπει να γνωρίζουν το λογισμικό και τις εφαρμογές που χρησιμοποιούν, ακόμη και να κάνουν μια απλή αναζήτηση στο Google για το "[that-software-name] log4j" και να ελέγξουν εάν αυτός ο προμηθευτής ή ο πάροχος έχει μοιραστεί τυχόν συμβουλές για ειδοποιήσεις σχετικά με αυτό το νέο απειλή. 

Αυτή η ευπάθεια κλονίζει ολόκληρο το τοπίο του Διαδικτύου και της ασφάλειας. Οι άνθρωποι θα πρέπει να κατεβάσουν τις πιο πρόσφατες ενημερώσεις ασφαλείας από τους παρόχους τους όσο πιο γρήγορα είναι διαθέσιμες και να παραμείνουν σε επαγρύπνηση για εφαρμογές που ακόμη περιμένουν ενημέρωση. Και φυσικά, η ασφάλεια εξακολουθεί να συνοψίζεται στα βασικά βασικά στοιχεία που δεν μπορείτε να ξεχάσετε: εκτελέστε ένα σταθερό πρόγραμμα προστασίας από ιούς, χρησιμοποιήστε μεγάλους, σύνθετους κωδικούς πρόσβασης (συνιστάται ανεπιφύλακτα ένας ψηφιακός διαχειριστής κωδικών πρόσβασης!) και να γνωρίζετε ιδιαίτερα τι παρουσιάζεται στο μπροστά σας στον υπολογιστή σας.

Σας αρέσει αυτό που διαβάζετε; Θα σας αρέσει να παραδίδεται στα εισερχόμενά σας κάθε εβδομάδα. Εγγραφείτε στο ενημερωτικό δελτίο SecurityWatch.

Αστυνομικοί + Μεσίτες Δεδομένων = Νομικά κενά

Οι εγκληματίες των παλιών ταινιών γνώριζαν πάντα τον δρόμο τους για τη σωστή και τη λάθος πλευρά του νόμου. Εάν ένας αστυνομικός απειλούσε να τους γκρεμίσει την πόρτα, θα χασκογελούσαν απλώς και θα έλεγαν: «Α, ναι; Επιστρέψτε με ένταλμα."

Στη σημερινή πραγματικότητα, η αστυνομία δεν χρειάζεται να μπει στον κόπο να λάβει ένταλμα για τα δεδομένα σας εάν μπορεί να αγοράσει τις πληροφορίες από έναν μεσίτη δεδομένων. Τώρα, δεν είμαστε από αυτούς που ρομαντικοποιούμε την παραβίαση του νόμου, αλλά δεν μας αρέσουν και οι πιθανές καταχρήσεις εξουσίας.

Όπως γράφει ο Rob Pegoraro του PCMag, οι μεσίτες δεδομένων παρέχουν στις αρχές επιβολής του νόμου και στις υπηρεσίες πληροφοριών τρόπους για να παρακάμψουν την Τέταρτη Τροποποίηση επιτρέποντας την πώληση πληροφοριών που συλλέγονται για ιδιώτες. Το FBI υπέγραψε συμβόλαιο με έναν μεσίτη δεδομένων για «προανακριτικές δραστηριότητες» σε ένα παράδειγμα.

Χάρη στις περίπλοκες πολιτικές απορρήτου των εφαρμογών και τους όρους και τις προϋποθέσεις του μεσίτη δεδομένων, ο μέσος Αμερικανός πολίτης πιθανότατα δεν γνωρίζει πώς τα δεδομένα τοποθεσίας του τηλεφώνου του μπαίνουν σε μια βάση δεδομένων επιβολής του νόμου. Σε ενοχλεί αυτό? Αν ναι, ήρθε η ώρα να πάρετε την κατάσταση στα χέρια σας και να σταματήσετε τη συλλογή δεδομένων στην πηγή. Χρησιμοποιήστε τις λειτουργίες απορρήτου τοποθεσίας που προσφέρει η Apple και η Google για να κρατήσετε μυστική την τοποθεσία σας apps. Το iOS επιτρέπει στους χρήστες να εμποδίζουν οποιαδήποτε εφαρμογή να γνωρίζει την τοποθεσία της και το Android 12 της Google προσθέτει παρόμοια στοιχεία ελέγχου.

Τι άλλο συμβαίνει στον κόσμο της ασφάλειας αυτή την εβδομάδα;