Prošli vikend je bio loš trenutak za administratora poslužitelja. U Apache Log4j pojavila se kritična ranjivost. Veliki problem? Napadači imaju priliku iskoristiti Java paket otvorenog koda koji sve vrste aplikacija, od Twittera do iClouda, koriste za izvršavanje bilo kojeg koda koji napadač odabere.
To je zastrašujuće koliko god zvučalo.
Što eksploatacija Apache Log4j znači za vas i mene
Razgovarao sam s istraživačem kibernetičke sigurnosti Johnom Hammondom iz Huntress Labsa o eksploataciji i naknadnoj borbi za ublažavanje štete. Hammond je rekreirao eksploataciju na Minecraft serveru za svoj YouTube kanal, a rezultati su bili eksplozivni.
P: Što je ovo eksploatacija? Možete li laički objasniti što se događa?
O: Ovo iskorištavanje omogućuje lošim akterima da preuzmu kontrolu nad računalom s jednim redom teksta. Laički rečeno, datoteka dnevnika dohvaća novi unos, ali se događa da čita i zapravo izvršava podatke unutar datoteke dnevnika. Sa posebno izrađenim ulazom, računalo žrtve bi posegnulo i spojilo se s zasebnim zlonamjernim uređajem kako bi preuzelo i izvršilo sve zlobne radnje koje je protivnik pripremio.
P: Koliko je bilo teško ponoviti ovaj exploit u Minecraftu?
O: Ovu ranjivost i iskorištavanje je trivijalno postaviti, što je čini vrlo atraktivnom opcijom za loše glumce. Ja sam izložio video vodič koji pokazuje kako je ovo rekreirano u Minecraftu, a "perspektivi napadača" potrebno je možda 10 minuta za postavljanje ako znaju što rade i što im treba.
P: Koga to pogađa?
O: U konačnici, svi su na ovaj ili onaj način pogođeni ovim. Postoji iznimno velika vjerojatnost, gotovo izvjesna, da svaka osoba stupi u interakciju s nekim softverom ili tehnologijom koja ima tu ranjivost negdje skrivenu.
Vidjeli smo dokaze ranjivosti u stvarima kao što su Amazon, Tesla, Steam, čak i Twitter i LinkedIn. Nažalost, vidjet ćemo utjecaj ove ranjivosti još dugo vremena, dok se neki naslijeđeni softver možda neće održavati ili pokrenuti ažuriranja ovih dana.
P: Što pogođene strane trebaju učiniti kako bi očuvale sigurnost svojih sustava?
O: Iskreno, pojedinci bi trebali ostati svjesni softvera i aplikacija koje koriste, pa čak i jednostavno pretražiti Google za "[ime-softvera] log4j" i provjeriti je li taj dobavljač ili pružatelj usluga podijelio bilo kakve savjete za obavijesti u vezi s ovim novim prijetnja.
Ova ranjivost potresa cijeli internet i sigurnosni krajolik. Ljudi bi trebali preuzeti najnovija sigurnosna ažuriranja od svojih davatelja usluga čim budu dostupna i biti oprezni na aplikacijama koje još uvijek čekaju ažuriranje. I naravno, sigurnost se i dalje svodi na osnovne osnove koje ne možete zaboraviti: pokrenite solidan antivirusni program, koristite duge, složene lozinke (upravitelj digitalnih lozinki se jako preporučuje!) i budite posebno svjesni onoga što je predstavljeno u ispred vas na vašem računalu.
Preporučeno od strane naših urednika
Sviđa vam se ono što čitate? Svidjet će vam se isporuka u vašu pristiglu poštu tjedno. Prijavite se za SecurityWatch newsletter.
Policajci + posrednici podataka = pravne rupe
Kriminalci u starim filmovima uvijek su znali zaobići i pravu i pogrešnu stranu zakona. Kad bi im policajac zaprijetio da će im provaliti vrata, samo bi se nasmiješili i rekli: „O, da? Vrati se s nalogom.”
U današnjoj stvarnosti, policija se ne mora truditi dobiti nalog za vaše podatke ako može kupiti informacije od posrednika podataka. E sad, mi nismo od onih koji romantiziraju kršenje zakona, ali ne volimo ni moguće zlouporabe ovlasti.
Kako piše Rob Pegoraro iz PCMaga, posrednici podataka osiguravaju policiji i obavještajnim agencijama načine da zaobiđu Četvrti amandman dopuštajući prodaju prikupljenih informacija o privatnim građanima. FBI je potpisao ugovor s posrednikom podataka za "predistražne aktivnosti" u jednom primjeru.
Zahvaljujući zamršenim pravilima o privatnosti aplikacija i uvjetima i odredbama posrednika podataka, prosječni američki građanin vjerojatno ne zna kako podaci o lokaciji njihova telefona dospiju u bazu podataka za provedbu zakona. Smeta li vam to? Ako je tako, vrijeme je da uzmete stvari u svoje ruke i zaustavite prikupljanje podataka na izvoru. Koristite značajke privatnosti lokacije koje nude Apple i Google kako bi vaša lokacija bila tajna od vas apps. iOS omogućuje korisnicima da spriječi da bilo koja aplikacija sazna svoju lokaciju, a Googleov Android 12 dodaje slične kontrole.
Što se još događa u svijetu sigurnosti ovog tjedna?
Sviđa vam se ono što čitate?
Prijavite se za Sigurnosni sat bilten za naše vrhunske priče o privatnosti i sigurnosti koji se dostavljaju izravno u vašu pristiglu poštu.
Ovaj bilten može sadržavati oglašavanje, ponude ili partnerske veze. Pretplata na newsletter znači da ste suglasni s našim Uvjeti korištenja i Politika Privatnosti. U bilo kojem trenutku možete se odjaviti s newslettera.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba