Lo scorso fine settimana è stato un brutto momento per essere un amministratore di server. Una vulnerabilità critica è emersa in Apache Log4j. Il grande problema? Gli aggressori hanno la possibilità di sfruttare il pacchetto Java open source che tutti i tipi di applicazioni, da Twitter a iCloud, utilizzano per eseguire qualsiasi codice scelto da un utente malintenzionato.
È spaventoso come sembra.
Cosa significa per te e per me l'exploit di Apache Log4j
Ho parlato con il ricercatore di sicurezza informatica John Hammond di Huntress Labs dell'exploit e della conseguente lotta per mitigare il danno. Hammond ha ricreato l'exploit su un server Minecraft per il suo canale YouTube e i risultati sono stati esplosivi.
D: Cos'è questo exploit? Puoi spiegare cosa sta succedendo in parole povere?
R: Questo exploit consente ai malintenzionati di ottenere il controllo di un computer con una singola riga di testo. In parole povere, un file di registro sta recuperando una nuova voce ma sembra leggere ed eseguire effettivamente i dati all'interno del file di registro. Con un input appositamente predisposto, il computer della vittima si metterebbe in contatto e si connetterebbe a un dispositivo dannoso separato per scaricare ed eseguire qualsiasi azione nefasta preparata dall'avversario.
D: Quanto è stato difficile replicare questo exploit in Minecraft?
R: Questa vulnerabilità ed exploit è banale da configurare, il che la rende un'opzione molto interessante per i malintenzionati. Ho messo in mostra una procedura dettagliata video che mostra come è stato ricreato in Minecrafte la "prospettiva dell'attaccante" impiega forse 10 minuti per impostare se sanno cosa stanno facendo e di cosa hanno bisogno.
D: Chi è interessato da questo?
A: Alla fine, tutti ne sono influenzati in un modo o nell'altro. C'è una probabilità estremamente alta, quasi certa, che ogni persona interagisca con qualche software o tecnologia che ha questa vulnerabilità nascosta da qualche parte.
Abbiamo visto prove della vulnerabilità in cose come Amazon, Tesla, Steam, persino Twitter e LinkedIn. Sfortunatamente, vedremo l'impatto di questa vulnerabilità per molto tempo, mentre alcuni software legacy potrebbero non essere mantenuti o inviare aggiornamenti in questi giorni.
D: Cosa devono fare le parti interessate per mantenere i propri sistemi al sicuro?
A: Onestamente, le persone dovrebbero rimanere a conoscenza del software e delle applicazioni che utilizzano, e anche fare una semplice ricerca su Google per "[nome-software] log4j" e verificare se quel fornitore o fornitore ha condiviso avvisi per le notifiche relative a questo nuovo minaccia.
Questa vulnerabilità sta sconvolgendo l'intero panorama di Internet e della sicurezza. Le persone dovrebbero scaricare gli ultimi aggiornamenti di sicurezza dai loro fornitori non appena sono disponibili e rimanere vigili sulle applicazioni che sono ancora in attesa di un aggiornamento. E, naturalmente, la sicurezza si riduce ancora alle semplici basi che non puoi dimenticare: esegui un solido antivirus, usa password lunghe e complesse (un gestore di password digitale è fortemente raccomandato!) e sii particolarmente consapevole di ciò che viene presentato in davanti a te sul tuo computer.
Consigliato dai nostri editori
Ti piace quello che stai leggendo? Lo adorerai consegnato settimanalmente nella tua casella di posta. Iscriviti alla newsletter di SecurityWatch.
Poliziotti + broker di dati = scappatoie legali
I criminali nei vecchi film sapevano sempre come aggirare sia il lato giusto che quello sbagliato della legge. Se un agente di polizia minacciava di sfondare la loro porta, si limitavano a sorridere e dire: "Oh sì? Torna con un mandato.
Nella realtà odierna, la polizia non deve preoccuparsi di ottenere un mandato per i tuoi dati se può acquistare le informazioni da un broker di dati. Ora, non siamo quelli da romanticizzare la violazione della legge, ma non ci piacciono nemmeno i possibili abusi di potere.
Come scrive Rob Pegoraro di PCMag, i data broker forniscono alle forze dell'ordine e alle agenzie di intelligence modi per aggirare il quarto emendamento consentendo la vendita delle informazioni raccolte sui privati cittadini. L'FBI ha firmato un contratto con un intermediario di dati per "attività pre-investigative", in un esempio.
Grazie alle contorte politiche sulla privacy delle app e ai termini e condizioni del broker di dati, il cittadino americano medio probabilmente non sa come i dati sulla posizione del proprio telefono entrino in un database delle forze dell'ordine. Ti disturba? In tal caso, è il momento di prendere in mano la situazione e interrompere la raccolta dei dati alla fonte. Utilizza le funzioni di privacy della posizione offerte da Apple e Google per mantenere la tua posizione segreta al tuo apps. iOS consente agli utenti di impedire a qualsiasi app di conoscere la propria posizione e Android 12 di Google aggiunge controlli simili.
Cos'altro sta succedendo nel mondo della sicurezza questa settimana?
Ti piace quello che stai leggendo?
ISCRIVITI PER RICEVERE Orologio di sicurezza newsletter per le nostre migliori storie sulla privacy e sulla sicurezza inviate direttamente nella tua casella di posta.
Questa newsletter può contenere pubblicità, offerte o link di affiliazione. L'iscrizione a una newsletter indica il tuo consenso al nostro Condizioni d'uso ed Informativa sulla Privacy. È possibile annullare l'iscrizione alle newsletter in qualsiasi momento.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba