اکسپلویت بحرانی Apache Log4j در Minecraft نشان داده شده است

آخر هفته گذشته زمان بدی برای مدیر سرور بودن بود. یک آسیب پذیری حیاتی در Apache Log4j ظاهر شد. مشکل بزرگ؟ مهاجمان این شانس را دارند که از بسته منبع باز جاوا سوء استفاده کنند که انواع برنامه ها، از توییتر گرفته تا iCloud، برای اجرای هر کدی که مهاجم انتخاب می کند، استفاده می کند.

به همان اندازه که به نظر می رسد ترسناک است.

معنای بهره برداری Apache Log4j برای من و شما چیست؟

من با جان هاموند محقق امنیت سایبری از Huntress Labs در مورد سوء استفاده و تقلای بعدی برای کاهش آسیب صحبت کردم. هاموند این اکسپلویت را در یک سرور Minecraft برای کانال یوتیوب خود بازسازی کرد و نتایج انفجاری بود.

توییتر

س: این اکسپلویت چیست؟ می توانید توضیح دهید که چه اتفاقی در حال رخ دادن است؟

A: این سوء استفاده به بازیگران بد اجازه می دهد تا با یک خط متن کنترل کامپیوتر را به دست آورند. به زبان ساده، یک فایل log در حال بازیابی یک ورودی جدید است اما اتفاقاً در حال خواندن و در واقع بر اساس داده های داخل فایل log است. با ورودی ساخته شده خاص، یک رایانه قربانی به یک دستگاه مخرب جداگانه دسترسی پیدا می کند و به آن متصل می شود تا هر گونه اقدام شرورانه ای را که دشمن آماده کرده است دانلود و اجرا کند.

س: تکرار این اکسپلویت در Minecraft چقدر سخت بود؟

پاسخ: راه اندازی این آسیب پذیری و سوء استفاده بی اهمیت است، که آن را به گزینه ای بسیار جذاب برای بازیگران بد تبدیل می کند. به نمایش گذاشته ام یک راهنما ویدیویی که نشان می دهد چگونه این در Minecraft بازسازی شده استو "دیدگاه مهاجم" اگر بدانند در حال انجام چه کاری هستند و به چه چیزی نیاز دارند، شاید 10 دقیقه طول بکشد تا تنظیم شود.

س: چه کسانی تحت تأثیر این موضوع هستند؟

پاسخ: در نهایت، همه به نوعی تحت تأثیر این موضوع قرار می گیرند. احتمال بسیار زیاد، تقریباً قطعی، وجود دارد که هر فردی با نرم‌افزار یا فناوری‌ای تعامل داشته باشد که این آسیب‌پذیری را در جایی پنهان کرده است. 

شواهدی از این آسیب‌پذیری در مواردی مانند آمازون، تسلا، استیم، حتی توییتر و لینکدین دیده‌ایم. متأسفانه، تأثیر این آسیب‌پذیری را برای مدت طولانی شاهد خواهیم بود، در حالی که برخی از نرم‌افزارهای قدیمی ممکن است این روزها نگهداری نشوند یا به‌روزرسانی را انجام دهند.

س: طرف های تحت تاثیر چه کاری باید انجام دهند تا سیستم های خود را ایمن نگه دارند؟

پاسخ: صادقانه بگویم، افراد باید از نرم‌افزار و برنامه‌هایی که استفاده می‌کنند آگاه باشند، و حتی یک جستجوی ساده در گوگل برای «[that-software-name] log4j» انجام دهند و بررسی کنند که آیا آن فروشنده یا ارائه‌دهنده توصیه‌هایی برای اعلان‌های مربوط به این جدید به اشتراک گذاشته است یا خیر. تهدید. 

این آسیب پذیری کل اینترنت و چشم انداز امنیتی را تکان داده است. مردم باید آخرین به‌روزرسانی‌های امنیتی را به همان سرعتی که در دسترس هستند از ارائه‌دهندگان خود دانلود کنند و مراقب برنامه‌هایی باشند که هنوز در انتظار به‌روزرسانی هستند. و البته، امنیت هنوز به اصول اولیه‌ای خلاصه می‌شود که نمی‌توانید فراموش کنید: یک آنتی‌ویروس قوی اجرا کنید، از رمزهای عبور طولانی و پیچیده استفاده کنید (اکیداً یک مدیر رمز عبور دیجیتال توصیه می‌شود!)، و به‌ویژه از آنچه در ارائه شده است آگاه باشید. در مقابل شما در رایانه شما

آنچه را که می خوانید دوست دارید؟ دوست خواهید داشت که هر هفته به صندوق ورودی شما تحویل داده شود. برای خبرنامه SecurityWatch ثبت نام کنید.

پلیس + کارگزاران داده = خلأهای قانونی

جنایتکاران در فیلم های قدیمی همیشه راه خود را در مورد هر دو طرف درست و نادرست قانون می دانستند. اگر یک افسر پلیس تهدید می‌کرد که در خانه‌شان را می‌کوبد، فقط پوزخند می‌زدند و می‌گفتند: «اوه بله؟ با حکم برگرد.»

در واقعیت امروز، پلیس اگر بتواند اطلاعات را از یک کارگزار داده خریداری کند، نیازی به گرفتن حکم برای داده های شما ندارد. اکنون، ما کسانی نیستیم که قانون شکنی را رمانتیک کنیم، اما سوء استفاده های احتمالی از قدرت را نیز دوست نداریم.

همانطور که راب پگورارو از PCMag می نویسد، کارگزاران داده راه هایی را به مجریان قانون و آژانس های اطلاعاتی ارائه می کنند تا با اجازه دادن به فروش اطلاعات جمع آوری شده در مورد شهروندان خصوصی، اصلاحیه چهارم را دور بزنند. FBI در یک نمونه قراردادی را با یک کارگزار داده برای "فعالیت های پیش تحقیقاتی" امضا کرد.

به لطف سیاست‌های پیچیده حریم خصوصی برنامه‌ها و شرایط و ضوابط کارگزار داده، یک شهروند آمریکایی معمولی احتمالاً نمی‌داند داده‌های موقعیت مکانی تلفن خود چگونه وارد پایگاه داده اجرای قانون می‌شوند. آیا این شما را اذیت می کند؟ اگر چنین است، وقت آن رسیده است که مسائل را به دست خود بگیرید و جمع آوری داده ها را در منبع متوقف کنید. از ویژگی‌های حریم خصوصی موقعیت مکانی که اپل و Google ارائه می‌دهند استفاده کنید تا موقعیت مکانی خود را از شما مخفی نگه دارید apps. iOS به کاربران این امکان را می‌دهد تا هر برنامه‌ای را از اطلاع از موقعیت مکانی خود دور نگه دارند و اندروید ۱۲ گوگل نیز کنترل‌های مشابهی را اضافه می‌کند.

چه چیز دیگری در این هفته در دنیای امنیت اتفاق می افتد؟