Akhir pekan lalu adalah waktu yang buruk untuk menjadi administrator server. Kerentanan kritis muncul di Apache Log4j. Masalah besar? Penyerang memiliki kesempatan untuk mengeksploitasi paket Java open-source yang digunakan oleh semua jenis aplikasi, dari Twitter hingga iCloud, untuk mengeksekusi kode apa pun yang dipilih penyerang.
Itu menakutkan kedengarannya.
Apa Makna Eksploitasi Apache Log4j bagi Anda dan Saya
Saya berbicara dengan peneliti keamanan siber John Hammond dari Huntress Labs tentang eksploitasi dan perebutan selanjutnya untuk mengurangi kerusakan. Hammond membuat ulang eksploit di server Minecraft untuk saluran YouTube-nya, dan hasilnya eksplosif.
T: Eksploitasi apa ini? Bisakah Anda menjelaskan apa yang terjadi dalam istilah awam?
J: Eksploitasi ini memungkinkan pelaku jahat untuk menguasai komputer dengan satu baris teks. Dalam istilah awam, file log mengambil entri baru tetapi kebetulan membaca dan benar-benar mengeksekusi data di dalam file log. Dengan input yang dibuat secara khusus, komputer korban akan menjangkau dan terhubung ke perangkat jahat yang terpisah untuk mengunduh dan melakukan tindakan jahat apa pun yang telah disiapkan musuh.
T: Seberapa sulitkah meniru eksploitasi ini di Minecraft?
J: Kerentanan dan eksploitasi ini sepele untuk disiapkan, yang menjadikannya pilihan yang sangat menarik bagi pelaku kejahatan. Saya telah memamerkan panduan video yang menunjukkan bagaimana ini dibuat ulang di Minecraft, dan "perspektif penyerang" mungkin membutuhkan waktu 10 menit untuk menyiapkan jika mereka tahu apa yang mereka lakukan dan apa yang mereka butuhkan.
T: Siapa yang terpengaruh oleh ini?
J: Pada akhirnya, setiap orang dipengaruhi oleh ini dalam beberapa cara atau lainnya. Ada kemungkinan yang sangat tinggi, hampir pasti, bahwa setiap orang berinteraksi dengan beberapa perangkat lunak atau teknologi yang memiliki kerentanan ini tersimpan di suatu tempat.
Kami telah melihat bukti kerentanan dalam hal-hal seperti Amazon, Tesla, Steam, bahkan Twitter dan LinkedIn. Sayangnya, kami akan melihat dampak kerentanan ini untuk waktu yang sangat lama, sementara beberapa perangkat lunak lawas mungkin tidak dipertahankan atau mendorong pembaruan akhir-akhir ini.
T: Apa yang perlu dilakukan pihak yang terkena dampak untuk menjaga keamanan sistem mereka?
J: Sejujurnya, individu harus tetap sadar akan perangkat lunak dan aplikasi yang mereka gunakan, dan bahkan melakukan pencarian Google sederhana untuk “[nama-perangkat lunak itu] log4j” dan memeriksa apakah vendor atau penyedia tersebut telah membagikan saran untuk pemberitahuan mengenai hal baru ini. ancaman.
Kerentanan ini mengguncang seluruh Internet dan lanskap keamanan. Orang-orang harus mengunduh pembaruan keamanan terbaru dari penyedia mereka secepat tersedia dan tetap waspada pada aplikasi yang masih menunggu pembaruan. Dan tentu saja, keamanan masih bermuara pada dasar-dasar sederhana yang tidak dapat Anda lupakan: jalankan antivirus yang solid, gunakan kata sandi yang panjang dan rumit (pengelola kata sandi digital sangat disarankan!), dan perhatikan secara khusus apa yang disajikan dalam depan Anda di komputer Anda.
Direkomendasikan oleh Editor Kami
Seperti apa yang Anda baca? Anda akan menyukainya dikirim ke kotak masuk Anda setiap minggu. Mendaftar untuk buletin SecurityWatch.
Polisi + Pialang Data = Celah Hukum
Penjahat di film-film lama selalu tahu jalan mereka di sisi yang benar dan yang salah dari hukum. Jika seorang petugas polisi mengancam akan mendobrak pintu mereka, mereka hanya akan menyeringai dan berkata, “Oh ya? Kembalilah dengan surat perintah.”
Dalam kenyataan saat ini, polisi tidak perlu repot-repot mendapatkan surat perintah untuk data Anda jika mereka dapat membeli informasi dari broker data. Sekarang, kami bukan orang yang meromantisasi pelanggaran hukum, tetapi kami juga tidak menyukai kemungkinan penyalahgunaan kekuasaan.
Seperti yang ditulis oleh Rob Pegoraro dari PCMag, pialang data menyediakan cara bagi penegak hukum dan badan intelijen untuk menyiasati Amandemen Keempat dengan mengizinkan penjualan informasi yang dikumpulkan tentang warga negara. FBI menandatangani kontrak dengan broker data untuk "kegiatan pra-investigasi" dalam satu contoh.
Berkat kebijakan privasi aplikasi yang berbelit-belit serta syarat dan ketentuan pialang data, rata-rata warga Amerika mungkin tidak tahu bagaimana data lokasi ponsel mereka masuk ke basis data penegakan hukum. Apakah itu mengganggu Anda? Jika demikian, inilah saatnya untuk mengambil tindakan sendiri dan menghentikan pengumpulan data di sumbernya. Gunakan fitur privasi lokasi yang ditawarkan Apple dan Google untuk merahasiakan lokasi Anda dari apps. iOS memungkinkan pengguna menjaga aplikasi apa pun agar tidak mengetahui lokasi mereka, dan Android 12 Google menambahkan kontrol serupa.
Apa Lagi yang Terjadi di Dunia Keamanan Minggu Ini?
Seperti Apa yang Anda Baca?
Mendaftar untuk Jam Tangan Keamanan buletin untuk kisah privasi dan keamanan teratas kami yang dikirimkan langsung ke kotak masuk Anda.
Buletin ini mungkin berisi iklan, penawaran, atau tautan afiliasi. Berlangganan buletin menunjukkan persetujuan Anda kepada kami Syarat Penggunaan dan Kebijakan Privasi. Anda dapat berhenti berlangganan buletin kapan saja.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba