آخر هفته گذشته زمان بدی برای مدیر سرور بودن بود. یک آسیب پذیری حیاتی در Apache Log4j ظاهر شد. مشکل بزرگ؟ مهاجمان این شانس را دارند که از بسته منبع باز جاوا سوء استفاده کنند که انواع برنامه ها، از توییتر گرفته تا iCloud، برای اجرای هر کدی که مهاجم انتخاب می کند، استفاده می کند.
به همان اندازه که به نظر می رسد ترسناک است.
معنای بهره برداری Apache Log4j برای من و شما چیست؟
من با جان هاموند محقق امنیت سایبری از Huntress Labs در مورد سوء استفاده و تقلای بعدی برای کاهش آسیب صحبت کردم. هاموند این اکسپلویت را در یک سرور Minecraft برای کانال یوتیوب خود بازسازی کرد و نتایج انفجاری بود.
س: این اکسپلویت چیست؟ می توانید توضیح دهید که چه اتفاقی در حال رخ دادن است؟
A: این سوء استفاده به بازیگران بد اجازه می دهد تا با یک خط متن کنترل کامپیوتر را به دست آورند. به زبان ساده، یک فایل log در حال بازیابی یک ورودی جدید است اما اتفاقاً در حال خواندن و در واقع بر اساس داده های داخل فایل log است. با ورودی ساخته شده خاص، یک رایانه قربانی به یک دستگاه مخرب جداگانه دسترسی پیدا می کند و به آن متصل می شود تا هر گونه اقدام شرورانه ای را که دشمن آماده کرده است دانلود و اجرا کند.
س: تکرار این اکسپلویت در Minecraft چقدر سخت بود؟
پاسخ: راه اندازی این آسیب پذیری و سوء استفاده بی اهمیت است، که آن را به گزینه ای بسیار جذاب برای بازیگران بد تبدیل می کند. به نمایش گذاشته ام یک راهنما ویدیویی که نشان می دهد چگونه این در Minecraft بازسازی شده استو "دیدگاه مهاجم" اگر بدانند در حال انجام چه کاری هستند و به چه چیزی نیاز دارند، شاید 10 دقیقه طول بکشد تا تنظیم شود.
س: چه کسانی تحت تأثیر این موضوع هستند؟
پاسخ: در نهایت، همه به نوعی تحت تأثیر این موضوع قرار می گیرند. احتمال بسیار زیاد، تقریباً قطعی، وجود دارد که هر فردی با نرمافزار یا فناوریای تعامل داشته باشد که این آسیبپذیری را در جایی پنهان کرده است.
شواهدی از این آسیبپذیری در مواردی مانند آمازون، تسلا، استیم، حتی توییتر و لینکدین دیدهایم. متأسفانه، تأثیر این آسیبپذیری را برای مدت طولانی شاهد خواهیم بود، در حالی که برخی از نرمافزارهای قدیمی ممکن است این روزها نگهداری نشوند یا بهروزرسانی را انجام دهند.
س: طرف های تحت تاثیر چه کاری باید انجام دهند تا سیستم های خود را ایمن نگه دارند؟
پاسخ: صادقانه بگویم، افراد باید از نرمافزار و برنامههایی که استفاده میکنند آگاه باشند، و حتی یک جستجوی ساده در گوگل برای «[that-software-name] log4j» انجام دهند و بررسی کنند که آیا آن فروشنده یا ارائهدهنده توصیههایی برای اعلانهای مربوط به این جدید به اشتراک گذاشته است یا خیر. تهدید.
این آسیب پذیری کل اینترنت و چشم انداز امنیتی را تکان داده است. مردم باید آخرین بهروزرسانیهای امنیتی را به همان سرعتی که در دسترس هستند از ارائهدهندگان خود دانلود کنند و مراقب برنامههایی باشند که هنوز در انتظار بهروزرسانی هستند. و البته، امنیت هنوز به اصول اولیهای خلاصه میشود که نمیتوانید فراموش کنید: یک آنتیویروس قوی اجرا کنید، از رمزهای عبور طولانی و پیچیده استفاده کنید (اکیداً یک مدیر رمز عبور دیجیتال توصیه میشود!)، و بهویژه از آنچه در ارائه شده است آگاه باشید. در مقابل شما در رایانه شما
توصیه شده توسط ویراستاران ما
آنچه را که می خوانید دوست دارید؟ دوست خواهید داشت که هر هفته به صندوق ورودی شما تحویل داده شود. برای خبرنامه SecurityWatch ثبت نام کنید.
پلیس + کارگزاران داده = خلأهای قانونی
جنایتکاران در فیلم های قدیمی همیشه راه خود را در مورد هر دو طرف درست و نادرست قانون می دانستند. اگر یک افسر پلیس تهدید میکرد که در خانهشان را میکوبد، فقط پوزخند میزدند و میگفتند: «اوه بله؟ با حکم برگرد.»
در واقعیت امروز، پلیس اگر بتواند اطلاعات را از یک کارگزار داده خریداری کند، نیازی به گرفتن حکم برای داده های شما ندارد. اکنون، ما کسانی نیستیم که قانون شکنی را رمانتیک کنیم، اما سوء استفاده های احتمالی از قدرت را نیز دوست نداریم.
همانطور که راب پگورارو از PCMag می نویسد، کارگزاران داده راه هایی را به مجریان قانون و آژانس های اطلاعاتی ارائه می کنند تا با اجازه دادن به فروش اطلاعات جمع آوری شده در مورد شهروندان خصوصی، اصلاحیه چهارم را دور بزنند. FBI در یک نمونه قراردادی را با یک کارگزار داده برای "فعالیت های پیش تحقیقاتی" امضا کرد.
به لطف سیاستهای پیچیده حریم خصوصی برنامهها و شرایط و ضوابط کارگزار داده، یک شهروند آمریکایی معمولی احتمالاً نمیداند دادههای موقعیت مکانی تلفن خود چگونه وارد پایگاه داده اجرای قانون میشوند. آیا این شما را اذیت می کند؟ اگر چنین است، وقت آن رسیده است که مسائل را به دست خود بگیرید و جمع آوری داده ها را در منبع متوقف کنید. از ویژگیهای حریم خصوصی موقعیت مکانی که اپل و Google ارائه میدهند استفاده کنید تا موقعیت مکانی خود را از شما مخفی نگه دارید apps. iOS به کاربران این امکان را میدهد تا هر برنامهای را از اطلاع از موقعیت مکانی خود دور نگه دارند و اندروید ۱۲ گوگل نیز کنترلهای مشابهی را اضافه میکند.
چه چیز دیگری در این هفته در دنیای امنیت اتفاق می افتد؟
مانند آنچه می خوانید؟
ثبت نام برای دیده بان امنیتی خبرنامه برای داستان های برتر حریم خصوصی و امنیتی ما که مستقیماً به صندوق ورودی شما تحویل داده می شود.
این خبرنامه ممکن است حاوی تبلیغات ، معاملات یا پیوندهای وابسته باشد. مشترک شدن در خبرنامه رضایت شما از ما را اعلام می کند شرایط استفاده و سیاست حفظ حریم خصوصی. در هر زمان ممکن است عضویت در خبرنامه ها را لغو کنید.