गंभीर अपाचे Log4j शोषण Minecraft में प्रदर्शित किया गया

पिछला सप्ताहांत सर्वर प्रशासक बनने के लिए एक बुरा समय था। Apache Log4j में एक गंभीर भेद्यता उभरी। बड़ी समस्या? हमलावरों के पास ओपन-सोर्स जावा पैकेज का फायदा उठाने का मौका है, जिसका उपयोग ट्विटर से लेकर आईक्लाउड तक सभी प्रकार के एप्लिकेशन, हमलावर द्वारा चुने गए किसी भी कोड को निष्पादित करने के लिए करते हैं।

यह सुनने में जितना डरावना लगता है, उतना ही डरावना है।

Apache Log4j एक्सप्लॉइट का आपके और मेरे लिए क्या मतलब है

मैंने हंट्रेस लैब्स के साइबर सुरक्षा शोधकर्ता जॉन हैमंड से शोषण और उसके बाद होने वाले नुकसान को कम करने के संघर्ष के बारे में बात की। हैमंड ने अपने YouTube चैनल के लिए Minecraft सर्वर पर शोषण को फिर से बनाया, और परिणाम विस्फोटक थे।

ट्वीट

प्रश्न: यह शोषण क्या है? क्या आप बता सकते हैं कि आम आदमी के शब्दों में क्या हो रहा है?

उ: यह शोषण बुरे अभिनेताओं को पाठ की एक पंक्ति के साथ कंप्यूटर पर नियंत्रण हासिल करने की अनुमति देता है। आम आदमी के शब्दों में, एक लॉग फ़ाइल एक नई प्रविष्टि प्राप्त कर रही है लेकिन लॉग फ़ाइल के अंदर डेटा को पढ़ रही है और वास्तव में निष्पादित कर रही है। विशेष रूप से तैयार किए गए इनपुट के साथ, एक पीड़ित कंप्यूटर प्रतिद्वंद्वी द्वारा तैयार किए गए किसी भी नापाक कार्य को डाउनलोड करने और निष्पादित करने के लिए एक अलग दुर्भावनापूर्ण डिवाइस तक पहुंच जाएगा और उससे कनेक्ट हो जाएगा।

प्रश्न: Minecraft में इस कारनामे को दोहराना कितना कठिन था?

उत्तर: इस भेद्यता और शोषण को स्थापित करना मामूली बात है, जो इसे बुरे कलाकारों के लिए एक बहुत ही आकर्षक विकल्प बनाती है। मैंने प्रदर्शन किया है एक वीडियो वॉकथ्रू जिसमें दर्शाया गया है कि इसे Minecraft में कैसे पुनः बनाया गया था, और यदि वे जानते हैं कि वे क्या कर रहे हैं और उन्हें क्या चाहिए तो "हमलावर का दृष्टिकोण" स्थापित करने में शायद 10 मिनट का समय लगता है।

प्रश्न: इससे कौन प्रभावित है?

उत्तर: अंततः, हर कोई किसी न किसी तरह से इससे प्रभावित होता है। इस बात की अत्यधिक संभावना है, लगभग निश्चित है कि प्रत्येक व्यक्ति किसी न किसी सॉफ़्टवेयर या तकनीक के साथ इंटरैक्ट करता है जिसमें यह भेद्यता कहीं न कहीं छुपी होती है। 

हमने अमेज़ॅन, टेस्ला, स्टीम, यहां तक ​​कि ट्विटर और लिंक्डइन जैसी चीज़ों में भेद्यता के प्रमाण देखे हैं। दुर्भाग्य से, हम इस भेद्यता का प्रभाव बहुत लंबे समय तक देखेंगे, जबकि कुछ पुराने सॉफ़्टवेयर इन दिनों बनाए नहीं रखे जा सकते हैं या अपडेट पुश नहीं कर सकते हैं।

प्रश्न: प्रभावित पक्षों को अपने सिस्टम को सुरक्षित रखने के लिए क्या करने की आवश्यकता है?

उत्तर: ईमानदारी से कहें तो, व्यक्तियों को उनके द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर और एप्लिकेशन के बारे में जागरूक रहना चाहिए, और यहां तक ​​कि "[वह-सॉफ़्टवेयर-नाम] log4j" के लिए एक सरल Google खोज भी करनी चाहिए और जांचना चाहिए कि क्या उस विक्रेता या प्रदाता ने इस नए के बारे में सूचनाओं के लिए कोई सलाह साझा की है धमकी। 

यह भेद्यता पूरे इंटरनेट और सुरक्षा परिदृश्य को हिला रही है। लोगों को अपने प्रदाताओं से नवीनतम सुरक्षा अद्यतन उपलब्ध होते ही तुरंत डाउनलोड करना चाहिए और उन अनुप्रयोगों पर सतर्क रहना चाहिए जो अभी भी अद्यतन की प्रतीक्षा कर रहे हैं। और निश्चित रूप से, सुरक्षा अभी भी बुनियादी बुनियादी बातों पर आधारित है जिन्हें आप नहीं भूल सकते: एक ठोस एंटीवायरस चलाएं, लंबे, जटिल पासवर्ड का उपयोग करें (एक डिजिटल पासवर्ड मैनेजर की दृढ़ता से अनुशंसा की जाती है!), और जो प्रस्तुत किया गया है उसके बारे में विशेष रूप से जागरूक रहें आपके कंप्यूटर पर आपके सामने.

जैसे आप क्या पढ़ रहे हैं? आप इसे साप्ताहिक रूप से अपने इनबॉक्स में वितरित करना पसंद करेंगे। सिक्योरिटीवॉच न्यूज़लेटर के लिए साइन अप करें।

पुलिस + डेटा दलाल = कानूनी खामियां

पुरानी फिल्मों में अपराधियों को हमेशा कानून के सही और गलत दोनों पहलुओं के बारे में पता होता था। यदि कोई पुलिस अधिकारी उनके दरवाज़े को बंद करने की धमकी देता, तो वे केवल मुस्कुराकर कहते, “अरे हाँ? वारंट के साथ वापस आएँ।''

आज की वास्तविकता में, यदि पुलिस किसी डेटा ब्रोकर से जानकारी खरीद सकती है, तो उसे आपके डेटा के लिए वारंट प्राप्त करने की चिंता करने की आवश्यकता नहीं है। अब, हम कानून तोड़ने को रोमांटिक बनाने वालों में से नहीं हैं, लेकिन हमें सत्ता का संभावित दुरुपयोग भी पसंद नहीं है।

जैसा कि पीसीमैग के रॉब पेगोरारो लिखते हैं, डेटा दलाल निजी नागरिकों के बारे में एकत्र की गई जानकारी की बिक्री की अनुमति देकर कानून प्रवर्तन और खुफिया एजेंसियों को चौथे संशोधन से बचने के तरीके प्रदान करते हैं। एक उदाहरण में एफबीआई ने "पूर्व-जांच गतिविधियों" के लिए एक डेटा ब्रोकर के साथ एक अनुबंध पर हस्ताक्षर किए।

जटिल ऐप गोपनीयता नीतियों और डेटा ब्रोकर नियमों और शर्तों के कारण, औसत अमेरिकी नागरिक शायद यह नहीं जानता कि उनके फोन का स्थान डेटा कानून प्रवर्तन डेटाबेस में कैसे आता है। क्या यह आपको चिंतित करता है? यदि ऐसा है, तो अब मामले को अपने हाथों में लेने और स्रोत पर डेटा संग्रह रोकने का समय आ गया है। अपने स्थान को आपसे गुप्त रखने के लिए Apple और Google द्वारा प्रस्तावित स्थान गोपनीयता सुविधाओं का उपयोग करें apps. iOS उपयोगकर्ताओं को किसी भी ऐप को उनका स्थान जानने से रोकता है, और Google का Android 12 समान नियंत्रण जोड़ता है।

इस सप्ताह सुरक्षा जगत में और क्या हो रहा है?