ການຂຸດຄົ້ນ Apache Log4j ທີ່ສໍາຄັນສະແດງໃຫ້ເຫັນໃນ Minecraft

ທ້າຍອາທິດທີ່ຜ່ານມາເປັນເວລາທີ່ບໍ່ດີທີ່ຈະເປັນຜູ້ເບິ່ງແຍງເຄື່ອງແມ່ຂ່າຍ. ຊ່ອງໂຫວ່ທີ່ສໍາຄັນເກີດຂຶ້ນໃນ Apache Log4j. ບັນຫາໃຫຍ່? ຜູ້ໂຈມຕີມີໂອກາດທີ່ຈະໃຊ້ແພັກເກັດ Java ແຫຼ່ງເປີດທີ່ແອັບພລິເຄຊັນທຸກປະເພດ, ຈາກ Twitter ຫາ iCloud, ໃຊ້ເພື່ອປະຕິບັດລະຫັດໃດໆທີ່ຜູ້ໂຈມຕີເລືອກ.

ນັ້ນເປັນຕາຢ້ານເທົ່າທີ່ມັນຟັງມາ.

Apache Log4j Exploit ຫມາຍຄວາມວ່າແນວໃດສໍາລັບທ່ານແລະຂ້ອຍ

ຂ້າພະເຈົ້າໄດ້ໂອ້ລົມກັບນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ John Hammond ຈາກ Huntress Labs ກ່ຽວກັບການຂູດຮີດແລະການຂູດຮີດຕໍ່ມາເພື່ອຫຼຸດຜ່ອນຄວາມເສຍຫາຍ. Hammond ໄດ້ສ້າງການຂູດຮີດຄືນໃຫມ່ໃນເຊີບເວີ Minecraft ສໍາລັບຊ່ອງ YouTube ຂອງລາວ, ແລະຜົນໄດ້ຮັບແມ່ນລະເບີດ.

Tweet

ຖາມ: ການຂູດຮີດນີ້ແມ່ນຫຍັງ? ທ່ານສາມາດອະທິບາຍສິ່ງທີ່ເກີດຂຶ້ນໃນເງື່ອນໄຂຂອງ layman?

A: ການຂູດຮີດນີ້ອະນຸຍາດໃຫ້ນັກສະແດງທີ່ບໍ່ດີສາມາດຄວບຄຸມຄອມພິວເຕີທີ່ມີຂໍ້ຄວາມເສັ້ນດຽວ. ໃນຂໍ້ກໍານົດຂອງ layman, ໄຟລ໌ບັນທຶກກໍາລັງດຶງຂໍ້ມູນໃຫມ່ແຕ່ເກີດຂື້ນກັບການອ່ານແລະປະຕິບັດຕົວຈິງກັບຂໍ້ມູນພາຍໃນໄຟລ໌ບັນທຶກ. ດ້ວຍ​ການ​ປ້ອນ​ຂໍ້​ມູນ​ທີ່​ສ້າງ​ຂຶ້ນ​ໂດຍ​ສະ​ເພາະ, ຄອມ​ພິວ​ເຕີ​ຜູ້​ເຄາະ​ຮ້າຍ​ຈະ​ເອື້ອມ​ອອກ​ໄປ​ຫາ ແລະ​ເຊື່ອມ​ຕໍ່​ກັບ​ອຸ​ປະ​ກອນ​ອັນ​ຕະ​ລາຍ​ແຍກ​ຕ່າງ​ຫາກ ເພື່ອ​ດາວ​ໂຫລດ ແລະ​ປະ​ຕິ​ບັດ​ການ​ກະ​ທຳ​ອັນ​ຊົ່ວ​ຮ້າຍ​ທີ່​ຝ່າຍ​ສັດຕູ​ໄດ້​ກະ​ກຽມ.

ຖາມ: ມັນເປັນການຍາກຫຼາຍປານໃດທີ່ຈະ replicate ການຂູດຮີດນີ້ຢູ່ໃນ Minecraft?

A: ຊ່ອງໂຫວ່ແລະການຂູດຮີດນີ້ແມ່ນເປັນເລື່ອງເລັກນ້ອຍໃນການຕັ້ງຄ່າ, ເຊິ່ງເຮັດໃຫ້ມັນເປັນທາງເລືອກທີ່ຫນ້າສົນໃຈຫຼາຍສໍາລັບນັກສະແດງທີ່ບໍ່ດີ. ຂ້າ​ພະ​ເຈົ້າ​ໄດ້​ສະ​ແດງ​ໃຫ້​ເຫັນ​ ຂັ້ນຕອນວິດີໂອສະແດງໃຫ້ເຫັນວິທີການນີ້ຖືກສ້າງໃຫມ່ໃນ Minecraft, ແລະ "ທັດສະນະຂອງຜູ້ໂຈມຕີ" ໃຊ້ເວລາປະມານ 10 ນາທີເພື່ອຕັ້ງຄ່າຖ້າພວກເຂົາຮູ້ວ່າພວກເຂົາເປັນແນວໃດແລະສິ່ງທີ່ພວກເຂົາຕ້ອງການ.

ຖາມ: ໃຜໄດ້ຮັບຜົນກະທົບຈາກເລື່ອງນີ້?

A: ໃນທີ່ສຸດ, ທຸກຄົນໄດ້ຮັບຜົນກະທົບຈາກສິ່ງນີ້ໃນທາງໃດທາງຫນຶ່ງຫຼືອື່ນ. ມີໂອກາດສູງທີ່ສຸດ, ເກືອບແນ່ນອນ, ທີ່ທຸກຄົນມີປະຕິສຳພັນກັບຊອບແວ ຫຼື ເທັກໂນໂລຢີບາງຢ່າງທີ່ມີຊ່ອງໂຫວ່ນີ້ຖືກຝັງໄວ້ຢູ່ບ່ອນໃດບ່ອນໜຶ່ງ. 

ພວກເຮົາໄດ້ເຫັນຫຼັກຖານຂອງຄວາມອ່ອນແອໃນສິ່ງຕ່າງໆເຊັ່ນ Amazon, Tesla, Steam, ເຖິງແມ່ນວ່າ Twitter ແລະ LinkedIn. ແຕ່ຫນ້າເສຍດາຍ, ພວກເຮົາຈະເຫັນຜົນກະທົບຂອງຊ່ອງໂຫວ່ນີ້ເປັນເວລາດົນ, ໃນຂະນະທີ່ບາງຊໍແວທີ່ເປັນມໍລະດົກອາດຈະບໍ່ໄດ້ຮັບການຮັກສາຫຼືຊຸກຍູ້ການປັບປຸງໃນມື້ນີ້.

ຖາມ: ພາກສ່ວນທີ່ໄດ້ຮັບຜົນກະທົບຕ້ອງເຮັດແນວໃດເພື່ອຮັກສາລະບົບຂອງເຂົາເຈົ້າໃຫ້ປອດໄພ?

A: ດ້ວຍຄວາມຊື່ສັດ, ບຸກຄົນຄວນຈະຮັບຮູ້ກ່ຽວກັບຊອບແວແລະຄໍາຮ້ອງສະຫມັກທີ່ເຂົາເຈົ້າໃຊ້, ແລະແມ້ກະທັ້ງເຮັດການຄົ້ນຫາ Google ແບບງ່າຍດາຍສໍາລັບ "[that-software-name] log4j" ແລະກວດເບິ່ງວ່າຜູ້ຂາຍຫຼືຜູ້ໃຫ້ບໍລິການນັ້ນໄດ້ແບ່ງປັນຄໍາແນະນໍາໃດໆສໍາລັບການແຈ້ງເຕືອນກ່ຽວກັບໃຫມ່ນີ້. ໄພຂົ່ມຂູ່. 

ຊ່ອງໂຫວ່ນີ້ກຳລັງສັ່ນສະເທືອນອິນເຕີເນັດ ແລະຄວາມປອດໄພທັງໝົດ. Folks ຄວນດາວໂຫຼດການອັບເດດຄວາມປອດໄພຫຼ້າສຸດຈາກຜູ້ໃຫ້ບໍລິການຂອງເຂົາເຈົ້າໄວເທົ່າທີ່ເຂົາເຈົ້າມີຢູ່ ແລະ ຍັງຄົງເຝົ້າລະວັງໃນແອັບພລິເຄຊັນທີ່ຍັງລໍຖ້າການອັບເດດຢູ່. ແລະແນ່ນອນ, ຄວາມປອດໄພຍັງຕົ້ມລົງເຖິງພື້ນຖານກະດູກເປົ່າທີ່ທ່ານບໍ່ສາມາດລືມໄດ້: ແລ່ນ antivirus ແຂງ, ໃຊ້ລະຫັດຜ່ານຍາວ, ສະລັບສັບຊ້ອນ (ຜູ້ຈັດການລະຫັດຜ່ານດິຈິຕອນແມ່ນແນະນໍາຢ່າງແຂງແຮງ!), ແລະຮູ້ໂດຍສະເພາະກ່ຽວກັບສິ່ງທີ່ນໍາສະເຫນີໃນ. ຕໍ່​ຫນ້າ​ຂອງ​ທ່ານ​ໃນ​ຄອມ​ພິວ​ເຕີ​ຂອງ​ທ່ານ​.

ມັກສິ່ງທີ່ເຈົ້າກຳລັງອ່ານຢູ່ບໍ? ທ່ານຈະມັກມັນສົ່ງໃຫ້ inbox ຂອງທ່ານທຸກອາທິດ. ລົງທະບຽນສໍາລັບຈົດຫມາຍຂ່າວ SecurityWatch.

Cops + Data Brokers = ຊ່ອງຫວ່າງທາງກົດໝາຍ

ຄະດີອາຍາໃນຮູບເງົາເກົ່າສະເຫມີຮູ້ວິທີການຂອງເຂົາເຈົ້າກ່ຽວກັບທັງສອງດ້ານທີ່ຖືກຕ້ອງແລະຜິດຂອງກົດຫມາຍ. ຖ້າເຈົ້າໜ້າທີຕຳຫຼວດຂູ່ວ່າຈະປິດປະຕູ, ເຂົາເຈົ້າກໍ່ຍິ້ມ ແລະເວົ້າວ່າ, “ໂອ້? ກັບ​ຄືນ​ມາ​ໂດຍ​ມີ​ໃບ​ຢັ້ງ​ຢືນ.”

ໃນ​ຄວາມ​ເປັນ​ຈິງ​ຂອງ​ມື້​ນີ້, ຕໍາ​ຫຼວດ​ບໍ່​ຈໍາ​ເປັນ​ຕ້ອງ​ຫຍຸ້ງ​ກ່ຽວ​ກັບ​ການ​ໄດ້​ຮັບ​ໃບ​ຢັ້ງ​ຢືນ​ສໍາ​ລັບ​ຂໍ້​ມູນ​ຂອງ​ທ່ານ​ຖ້າ​ຫາກ​ວ່າ​ເຂົາ​ເຈົ້າ​ສາ​ມາດ​ຊື້​ຂໍ້​ມູນ​ຈາກ​ນາຍ​ຫນ້າ​ຂໍ້​ມູນ. ໃນປັດຈຸບັນ, ພວກເຮົາບໍ່ແມ່ນຄົນທີ່ຈະ romanticize ການລະເມີດກົດຫມາຍ, ແຕ່ພວກເຮົາບໍ່ມັກການລ່ວງລະເມີດຂອງອໍານາດ, ເຊັ່ນດຽວກັນ.

ດັ່ງທີ່ Rob Pegoraro ຂອງ PCMag ຂຽນ, ນາຍຫນ້າຂໍ້ມູນສະຫນອງການບັງຄັບໃຊ້ກົດຫມາຍແລະອົງການຂ່າວລັບເພື່ອໃຫ້ໄດ້ປະມານການແກ້ໄຂຄັ້ງທີສີ່ໂດຍການອະນຸຍາດໃຫ້ຂາຍຂໍ້ມູນທີ່ເກັບກໍາກ່ຽວກັບພົນລະເມືອງເອກະຊົນ. FBI ໄດ້ເຊັນສັນຍາກັບນາຍຫນ້າຂໍ້ມູນສໍາລັບ "ກິດຈະກໍາການສືບສວນກ່ອນ" ໃນຕົວຢ່າງຫນຶ່ງ.

ຂໍຂອບໃຈກັບນະໂຍບາຍຄວາມເປັນສ່ວນຕົວຂອງແອັບຯທີ່ສັບສົນ ແລະຂໍ້ກໍານົດ ແລະເງື່ອນໄຂຂອງນາຍຫນ້າຂໍ້ມູນ, ພົນລະເມືອງອາເມລິກາໂດຍສະເລ່ຍອາດຈະບໍ່ຮູ້ວ່າຂໍ້ມູນສະຖານທີ່ໂທລະສັບຂອງເຂົາເຈົ້າເຂົ້າໄປໃນຖານຂໍ້ມູນການບັງຄັບໃຊ້ກົດໝາຍແນວໃດ. ມັນລົບກວນເຈົ້າບໍ? ຖ້າເປັນດັ່ງນັ້ນ, ມັນເປັນເວລາທີ່ຈະເອົາເລື່ອງເຂົ້າໄປໃນມືຂອງເຈົ້າເອງແລະຢຸດການລວບລວມຂໍ້ມູນຢູ່ໃນແຫຼ່ງ. ໃຊ້ຄຸນສົມບັດຄວາມເປັນສ່ວນຕົວຂອງສະຖານທີ່ທີ່ Apple ແລະ Google ສະເໜີໃຫ້ເພື່ອຮັກສາສະຖານທີ່ຂອງເຈົ້າເປັນຄວາມລັບຈາກເຈົ້າ apps. iOS ເຮັດໃຫ້ຜູ້ໃຊ້ສາມາດຮັກສາແອັບຯໃດໆຈາກການຮູ້ສະຖານທີ່ຂອງພວກເຂົາ, ແລະ Android 12 ຂອງ Google ເພີ່ມການຄວບຄຸມທີ່ຄ້າຍຄືກັນ.

ມີຫຍັງອີກແດ່ທີ່ເກີດຂື້ນໃນໂລກຄວາມປອດໄພໃນອາທິດນີ້?