Viime viikonloppu oli huono aika toimia palvelimen ylläpitäjänä. Apache Log4j:ssä ilmeni kriittinen haavoittuvuus. Suuri ongelma? Hyökkääjät voivat hyödyntää avoimen lähdekoodin Java-pakettia, jota kaikenlaiset sovellukset Twitteristä iCloudiin käyttävät suorittaakseen mitä tahansa hyökkääjän valitsemaa koodia.
Se on niin pelottavalta kuin miltä se kuulostaa.
Mitä Apache Log4j Exploit tarkoittaa sinulle ja minulle
Puhuin kyberturvallisuustutkijan John Hammondin kanssa Huntress Labsista hyväksikäytöstä ja sitä seuranneesta taistelusta vahinkojen lieventämiseksi. Hammond loi hyväksikäytön uudelleen Minecraft-palvelimella YouTube-kanavaansa varten, ja tulokset olivat räjähdysmäisiä.
K: Mikä tämä hyväksikäyttö on? Voitko selittää mitä tapahtuu maallikon termein?
V: Tämän hyväksikäytön avulla huonot näyttelijät voivat hallita tietokonetta yhdellä tekstirivillä. Maallikon termein, lokitiedosto hakee uutta merkintää, mutta sattuu lukemaan ja itse asiassa suorittamaan tietoja lokitiedoston sisällä. Erityisesti muotoillulla syötteellä uhrin tietokone ottaisi yhteyttä ja muodostaisi yhteyden erilliseen haitalliseen laitteeseen ladatakseen ja suorittaakseen vihollisen valmistamia ilkeitä toimia.
K: Kuinka vaikeaa oli kopioida tämä hyväksikäyttö Minecraftissa?
V: Tämä haavoittuvuus ja hyväksikäyttö on triviaalia asentaa, mikä tekee siitä erittäin houkuttelevan vaihtoehdon huonoille toimijoille. Olen esitellyt videokierros, joka osoittaa, kuinka tämä luotiin uudelleen Minecraftissa, ja "hyökkääjän näkökulman" määrittäminen vie ehkä 10 minuuttia, jos he tietävät mitä tekevät ja mitä he tarvitsevat.
K: Ketä tämä koskee?
V: Loppujen lopuksi tämä vaikuttaa kaikkiin tavalla tai toisella. On erittäin suuri mahdollisuus, melkein varma, että jokainen ihminen on vuorovaikutuksessa jonkin ohjelmiston tai tekniikan kanssa, jossa tämä haavoittuvuus on piilotettu jonnekin.
Olemme nähneet todisteita haavoittuvuudesta sellaisissa asioissa kuin Amazon, Tesla, Steam, jopa Twitter ja LinkedIn. Valitettavasti tulemme näkemään tämän haavoittuvuuden vaikutukset vielä pitkään, mutta joitain vanhoja ohjelmistoja ei ehkä ylläpidetä tai päivitetään näinä päivinä.
K: Mitä osapuolten on tehtävä pitääkseen järjestelmänsä turvassa?
V: Rehellisesti sanottuna ihmisten tulee pysyä tietoisina käyttämistään ohjelmistoista ja sovelluksista ja jopa tehdä yksinkertainen Google-haku "[that-software-name] log4j" ja tarkistaa, onko kyseinen toimittaja tai palveluntarjoaja jakanut neuvoja tätä uutta koskevista ilmoituksista. uhka.
Tämä haavoittuvuus ravistelee koko Internet- ja tietoturvaympäristöä. Ihmisten tulee ladata uusimmat tietoturvapäivitykset palveluntarjoajiltaan niin nopeasti kuin ne ovat saatavilla ja pysyä valppaina sovelluksissa, jotka odottavat vielä päivitystä. Ja tietysti turvallisuus tiivistyy edelleen paljaisiin perusasioihin, joita et voi unohtaa: käytä vankkaa virustorjuntaa, käytä pitkiä ja monimutkaisia salasanoja (digitaalinen salasananhallinta on erittäin suositeltavaa!) ja ole erityisen tietoinen siitä, mitä edessäsi tietokoneellasi.
Toimittajamme suosittelee
Kuten mitä luet? Tulet rakastamaan sitä postilaatikkoosi viikoittain toimitettuna. Tilaa SecurityWatch-uutiskirje.
Poliisit + tiedonvälittäjät = oikeudelliset porsaanreiät
Vanhojen elokuvien rikolliset tiesivät aina tiensä lain oikeaan ja väärään puoleen. Jos poliisi uhkasi murtautua heidän ovensa alas, he vain hymyilivät ja sanoivat: "Ai niin? Tule takaisin luvalla."
Nykypäivän todellisuudessa poliisin ei tarvitse vaivautua hankkimaan lupaa tiedoillesi, jos he voivat ostaa tiedot tiedonvälittäjältä. Nyt emme ole niitä, jotka romantisoivat lainrikkomusta, mutta emme myöskään pidä mahdollisesta vallan väärinkäytöstä.
Kuten PCMagin Rob Pegoraro kirjoittaa, tiedonvälittäjät tarjoavat lainvalvonta- ja tiedusteluviranomaisille tapoja kiertää neljäs muutos sallimalla yksityisistä kansalaisista kerättyjen tietojen myynnin. FBI allekirjoitti sopimuksen tiedonvälittäjän kanssa "esitutkintatoiminnasta" yhdessä esimerkissä.
Monimutkaisten sovellusten tietosuojakäytäntöjen ja tiedonvälittäjäehtojen ansiosta keskiverto Amerikan kansalainen ei todennäköisesti tiedä, kuinka hänen puhelimensa sijaintitiedot päätyvät lainvalvontatietokantaan. Häiritseekö se sinua? Jos näin on, on aika ottaa asiat omiin käsiisi ja lopettaa tiedonkeruu lähteellä. Käytä Applen ja Googlen tarjoamia sijainnin tietosuojaominaisuuksia pitääksesi sijaintisi salassa apps. iOS antaa käyttäjille mahdollisuuden estää sovelluksia tiedostamasta sijaintiaan, ja Googlen Android 12 lisää samanlaisia säätimiä.
Mitä muuta turvallisuusmaailmassa tapahtuu tällä viikolla?
Kuten mitä luet?
Rekisteröidy Turvakello uutiskirje tärkeimmistä tietosuoja- ja tietoturvatarinoistamme, jotka toimitetaan suoraan sähköpostiisi.
Tämä uutiskirje voi sisältää mainoksia, tarjouksia tai kumppanilinkkejä. Uutiskirjeen tilaaminen ilmaisee suostumuksesi palveluumme Käyttöehdot ja Tietosuojakäytännön. Voit peruuttaa uutiskirjeiden tilauksen milloin tahansa.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba