Өткен демалыс күні сервер әкімшісі болу үшін қолайсыз уақыт болды. Apache Log4j жүйесінде маңызды осалдық пайда болды. Үлкен мәселе? Шабуыл жасаушылардың Twitter-ден iCloud-қа дейінгі барлық қолданбалар шабуылдаушы таңдаған кез келген кодты орындау үшін пайдаланатын ашық бастапқы Java пакетін пайдалану мүмкіндігі бар.
Бұл қаншалықты қорқынышты естіледі.
Apache Log4j эксплойт сіз және мен үшін нені білдіреді
Мен Huntress Labs компаниясының киберқауіпсіздік зерттеушісі Джон Хаммондпен эксплуатация және залалды азайту үшін кейінгі шиеленіс туралы сөйлестім. Хаммонд өзінің YouTube арнасы үшін Minecraft серверінде эксплойтты қайта жасады және нәтижелер жарылғыш болды.
С: Бұл эксплуатация дегеніміз не? Не болып жатқанын қарапайым тілмен түсіндіре аласыз ба?
A: Бұл эксплойт нашар актерларға мәтіннің бір жолымен компьютерді басқаруға мүмкіндік береді. Қарапайым тілмен айтқанда, журнал файлы жаңа жазбаны шығарып жатыр, бірақ журнал файлындағы деректерді оқып, іс жүзінде орындап жатыр. Арнайы әзірленген енгізу арқылы жәбірленуші компьютер қарсылас дайындаған кез келген келеңсіз әрекеттерді жүктеп алу және орындау үшін бөлек зиянды құрылғыға хабарласып, оған қосылады.
С: Minecraft-та бұл эксплойтты қайталау қаншалықты қиын болды?
Ж: Бұл осалдық пен эксплуатацияны орнату тривиальды, бұл оны нашар актерлер үшін өте тартымды нұсқа етеді. мен көрсеттім бұл Minecraft-та қалай қайта жасалғанын көрсететін бейне шолу, және «шабуылдаушының көзқарасын» орнатуға 10 минут кетеді, егер олар не істеп жатқанын және не қажет екенін білсе.
С: Бұл кімге әсер етеді?
A: Сайып келгенде, бұл әркімге қандай да бір жолмен әсер етеді. Әрбір адамның осы осалдықты бір жерде жасырып қойған қандай да бір бағдарламалық жасақтамамен немесе технологиямен өзара әрекеттесу мүмкіндігі өте жоғары, дерлік сенімді.
Біз Amazon, Tesla, Steam, тіпті Twitter және LinkedIn сияқты нәрселерде осалдықтың дәлелдерін көрдік. Өкінішке орай, біз бұл осалдықтың әсерін өте ұзақ уақыт көреміз, ал кейбір бұрынғы бағдарламалық жасақтама осы күндері сақталмауы немесе жаңартуларды басу мүмкін емес.
С: Зардап шеккен тараптар өз жүйелерін қауіпсіз сақтау үшін не істеуі керек?
A: Шынымды айтсам, адамдар өздері пайдаланатын бағдарламалық құрал мен қолданбаларды білуі керек, тіпті «[сол-бағдарламалық құрал-атауы] log4j» үшін қарапайым Google іздеуін жасап, осы жеткізушінің немесе провайдердің осы жаңаға қатысты хабарландырулар үшін қандай да бір кеңестерді бөліскенін тексеруі керек. қауіп-қатер.
Бұл осалдық бүкіл Интернетті және қауіпсіздік ландшафтын шайқалтады. Адамдар өздерінің провайдерлерінен соңғы қауіпсіздік жаңартуларын қол жетімді болғанша тез жүктеп алуы керек және әлі де жаңартуды күтіп тұрған қолданбаларға қырағы болуы керек. Әрине, қауіпсіздік әлі де сіз ұмыта алмайтын қарапайым негіздерге дейін жетеді: қатты антивирусты іске қосыңыз, ұзақ, күрделі құпия сөздерді пайдаланыңыз (цифрлық құпия сөз басқарушысы қатты ұсынылады!) және әсіресе осы бөлімде не ұсынылғанынан хабардар болыңыз. компьютерде сіздің алдыңызда.
Біздің редакторлар ұсынған
Оқығаныңыз ұнайды ма? Оның кіріс жәшігіне апта сайын жеткізілгені сізге ұнайды. SecurityWatch ақпараттық бюллетеніне жазылыңыз.
Полицейлер + Деректер брокерлері = Заңды кемшіліктер
Ескі фильмдердегі қылмыскерлер әрқашан заңның дұрыс және бұрыс жағын жақсы білетін. Егер полиция қызметкері олардың есігін бұзып аламын деп қорқытса, олар жай ғана жымиып: «Иә? Ордермен қайтып келіңіз» деді.
Бүгінгі шындықта полиция деректер брокерінен ақпаратты сатып ала алатын болса, сіздің деректеріңізге ордер алудың қажеті жоқ. Енді біз заң бұзуды романтизациялайтын адамдар емеспіз, бірақ билікті теріс пайдалануды да ұнатпаймыз.
PCMag Роб Пегораро жазғандай, деректер брокерлері құқық қорғау және барлау органдарына жеке азаматтар туралы жиналған ақпаратты сатуға рұқсат беру арқылы Төртінші түзетуді айналып өту жолдарын ұсынады. ФБР бір мысалда «алдын ала тергеу әрекеттері» үшін деректер брокерімен келісімшартқа қол қойды.
Қолданбаның құпиялылық саясаты мен деректер брокерінің шарттары мен шарттарының арқасында қарапайым американдық азамат телефонының орналасқан жері туралы деректердің құқық қорғау органдарының дерекқорына қалай түсетінін білмеуі мүмкін. Бұл сізді мазалайды ма? Олай болса, мәселені өз қолыңызға алып, дереккөзден жинауды тоқтатудың уақыты келді. Орналасқан жеріңізді құпия сақтау үшін Apple және Google ұсынатын орын құпиялылығы мүмкіндіктерін пайдаланыңыз apps. iOS пайдаланушыларға кез келген қолданбаны олардың орналасқан жерін білуіне жол бермейді, ал Google Android 12 ұқсас басқару элементтерін қосады.
Осы аптада қауіпсіздік әлемінде тағы не болып жатыр?
Оқығаныңыз ұнайды ма?
Жазылу Қауіпсіздік сағаты Сіздің кіріс жәшігіңізге жеткізілетін басты құпиялылық пен қауіпсіздік туралы жаңалықтарымыз үшін ақпараттық бюллетень.
Бұл ақпараттық бюллетеньде жарнама, мәмілелер немесе серіктестік сілтемелері болуы мүмкін. Ақпараттық бюллетеньге жазылу біздің келісімге келісіміңізді білдіреді Қолдану шарттары және Құпиялылық саясаты. Сіз кез келген уақытта ақпараттық бюллетеньдерге жазылудан бас тарта аласыз.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba