კრიტიკული Apache Log4j ექსპლოიტი დემონსტრირებულია Minecraft-ში

გასულ შაბათ-კვირას ცუდი დრო იყო სერვერის ადმინისტრატორისთვის. კრიტიკული დაუცველობა გაჩნდა Apache Log4j-ში. დიდი პრობლემა? თავდამსხმელებს აქვთ შესაძლებლობა გამოიყენონ ღია კოდის Java პაკეტი, რომელსაც ყველა სახის აპლიკაცია, Twitter-დან iCloud-მდე, იყენებს თავდამსხმელის მიერ არჩეული ნებისმიერი კოდის შესასრულებლად.

ეს ისეთივე საშინელია, როგორც ჟღერს.

რას ნიშნავს Apache Log4j ექსპლოიტი თქვენთვის და ჩემთვის

მე ვესაუბრე კიბერუსაფრთხოების მკვლევარს ჯონ ჰამონდს Huntress Labs-დან ექსპლოიტისა და ზიანის შესამცირებლად შემდგომ ბრძოლაზე. ჰამონდმა ხელახლა შექმნა ექსპლოიტი Minecraft სერვერზე თავისი YouTube არხისთვის და შედეგები ფეთქებადი იყო.

Tweet

კითხვა: რა არის ეს ექსპლოატი? შეგიძლიათ ხალხური სიტყვებით ამიხსნათ რა ხდება?

პასუხი: ეს ექსპლოიტი საშუალებას აძლევს ცუდ მსახიობებს კომპიუტერზე კონტროლი მოიპოვონ ტექსტის ერთი ხაზით. ხალხური სიტყვებით რომ ვთქვათ, ჟურნალის ფაილი იბრუნებს ახალ ჩანაწერს, მაგრამ კითხულობს და რეალურად ახორციელებს მონაცემებს ჟურნალის ფაილში. სპეციალურად შემუშავებული შეყვანის საშუალებით, მსხვერპლი კომპიუტერი მიაწვდის და დაუკავშირდება ცალკეულ მავნე მოწყობილობას, რათა ჩამოტვირთოს და განახორციელოს მოწინააღმდეგის მიერ მომზადებული ნებისმიერი მავნე მოქმედება.

კითხვა: რამდენად რთული იყო ამ ექსპლოიტის გამეორება Minecraft-ში?

პასუხი: ამ დაუცველობისა და ექსპლოიტის დაყენება ტრივიალურია, რაც მას ძალიან მიმზიდველ ვარიანტად აქცევს ცუდი მსახიობებისთვის. მე ვაჩვენე ვიდეო მიმოხილვა, რომელიც აჩვენებს, თუ როგორ იქნა ეს ხელახლა შექმნილი Minecraft-ში, ხოლო „თავდამსხმელის პერსპექტივას“ შესაძლოა 10 წუთი დასჭირდეს ჩამოყალიბებას, თუ მათ იციან, რას აპირებენ და რა სჭირდებათ.

კითხვა: ვის ეხება ეს?

_ საბოლოო ჯამში, ეს ასე თუ ისე ყველა განიცდის ამას. არსებობს უკიდურესად დიდი შანსი, თითქმის დარწმუნებულია, რომ ყველა ადამიანი ურთიერთობს რაიმე პროგრამულ უზრუნველყოფასთან ან ტექნოლოგიასთან, რომელსაც ეს დაუცველობა სადღაც აქვს ჩაფლული. 

ჩვენ ვნახეთ დაუცველობის მტკიცებულება ისეთ საკითხებში, როგორიცაა Amazon, Tesla, Steam, თუნდაც Twitter და LinkedIn. სამწუხაროდ, ჩვენ ვნახავთ ამ დაუცველობის გავლენას ძალიან დიდი ხნის განმავლობაში, მაშინ როცა ზოგიერთი ძველი პროგრამული უზრუნველყოფა შესაძლოა არ იყოს შენახული ან განახლებების წახალისება ამ დღეებში.

Q: რა უნდა გააკეთონ დაზარალებულმა მხარეებმა თავიანთი სისტემების უსაფრთხოების შესანარჩუნებლად?

პასუხი: გულწრფელად რომ ვთქვათ, ინდივიდებმა უნდა იცოდნენ მათ მიერ გამოყენებული პროგრამული უზრუნველყოფისა და აპლიკაციების შესახებ და თუნდაც მარტივი მოძებნონ Google-ში „[that-software-name] log4j“ და შეამოწმონ, გაუზიარა თუ არა ამ გამყიდველს ან პროვაიდერს რაიმე რჩევები ამ ახალთან დაკავშირებით შეტყობინებებისთვის. მუქარა. 

ეს დაუცველობა არყევს მთელ ინტერნეტსა და უსაფრთხოების ლანდშაფტს. ხალხმა უნდა ჩამოტვირთოს უსაფრთხოების უახლესი განახლებები მათი პროვაიდერებისგან რაც შეიძლება სწრაფად და დარჩეს ფხიზლად აპლიკაციების მიმართ, რომლებიც ჯერ კიდევ ელოდება განახლებას. და, რა თქმა უნდა, უსაფრთხოება ჯერ კიდევ იშლება შიშველი საფუძვლებით, რომელთა დავიწყებაც არ შეგიძლიათ: გაუშვით მყარი ანტივირუსი, გამოიყენეთ გრძელი, რთული პაროლები (რეკომენდებულია ციფრული პაროლის მენეჯერი!) და განსაკუთრებით გაითვალისწინეთ რა არის წარმოდგენილი თქვენს წინაშე თქვენს კომპიუტერში.

მოგწონს რასაც კითხულობ? მოგეწონებათ, რომ ყოველკვირეულად მიწოდებული იქნება თქვენს შემოსულებში. დარეგისტრირდით SecurityWatch-ის საინფორმაციო ბიულეტენზე.

პოლიციელები + მონაცემთა ბროკერები = სამართლებრივი ხარვეზები

კრიმინალები ძველ ფილმებში ყოველთვის იცოდნენ თავიანთი გზა კანონის სწორი და არასწორი მხარეების გარშემო. თუ პოლიციელი კარის ჩამტვრევით დაემუქრებოდა, ისინი უბრალოდ იღიმებოდნენ და ამბობდნენ: „ოჰ, ჰო? დაბრუნდი ორდერით. ”

დღევანდელ რეალობაში, პოლიციას არ სჭირდება თქვენი მონაცემების ორდერის მიღება, თუ მათ შეუძლიათ შეიძინონ ინფორმაცია მონაცემთა ბროკერისგან. ახლა ჩვენ არ ვართ ისეთები, ვინც კანონის დარღვევას რომანტიკულად ვაქცევთ, მაგრამ არც ძალაუფლების შესაძლო ბოროტად გამოყენება მოგვწონს.

როგორც PCMag-ის რობ პეგორარო წერს, მონაცემთა ბროკერები სამართალდამცავ და სადაზვერვო სააგენტოებს აწვდიან გზებს მეოთხე შესწორების გარშემო, კერძო მოქალაქეების შესახებ შეგროვებული ინფორმაციის გაყიდვის დაშვებით. FBI-მ ხელი მოაწერა კონტრაქტს მონაცემთა ბროკერთან "წინასწარ საგამოძიებო მოქმედებებისთვის" ერთ მაგალითში.

აპლიკაციების კონფიდენციალურობის რთული პოლიტიკისა და მონაცემთა ბროკერის პირობების წყალობით, ამერიკელმა საშუალო მოქალაქემ ალბათ არ იცის, როგორ ხვდება მათი ტელეფონის მდებარეობის მონაცემები სამართალდამცავ მონაცემთა ბაზაში. ეს გაწუხებს? თუ ასეა, დროა აიღოთ საქმეები საკუთარ ხელში და შეწყვიტოთ მონაცემთა შეგროვება წყაროზე. გამოიყენეთ მდებარეობის კონფიდენციალურობის ფუნქციები, რომლებსაც Apple და Google სთავაზობენ, რათა თქვენი მდებარეობა საიდუმლოდ დარჩეს apps. iOS მომხმარებლებს საშუალებას აძლევს, ნებისმიერ აპს არ იცოდნენ მათი მდებარეობა, ხოლო Google-ის Android 12 ამატებს მსგავს კონტროლს.

კიდევ რა ხდება უსაფრთხოების სამყაროში ამ კვირაში?