ທ້າຍອາທິດທີ່ຜ່ານມາເປັນເວລາທີ່ບໍ່ດີທີ່ຈະເປັນຜູ້ເບິ່ງແຍງເຄື່ອງແມ່ຂ່າຍ. ຊ່ອງໂຫວ່ທີ່ສໍາຄັນເກີດຂຶ້ນໃນ Apache Log4j. ບັນຫາໃຫຍ່? ຜູ້ໂຈມຕີມີໂອກາດທີ່ຈະໃຊ້ແພັກເກັດ Java ແຫຼ່ງເປີດທີ່ແອັບພລິເຄຊັນທຸກປະເພດ, ຈາກ Twitter ຫາ iCloud, ໃຊ້ເພື່ອປະຕິບັດລະຫັດໃດໆທີ່ຜູ້ໂຈມຕີເລືອກ.
ນັ້ນເປັນຕາຢ້ານເທົ່າທີ່ມັນຟັງມາ.
Apache Log4j Exploit ຫມາຍຄວາມວ່າແນວໃດສໍາລັບທ່ານແລະຂ້ອຍ
ຂ້າພະເຈົ້າໄດ້ໂອ້ລົມກັບນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ John Hammond ຈາກ Huntress Labs ກ່ຽວກັບການຂູດຮີດແລະການຂູດຮີດຕໍ່ມາເພື່ອຫຼຸດຜ່ອນຄວາມເສຍຫາຍ. Hammond ໄດ້ສ້າງການຂູດຮີດຄືນໃຫມ່ໃນເຊີບເວີ Minecraft ສໍາລັບຊ່ອງ YouTube ຂອງລາວ, ແລະຜົນໄດ້ຮັບແມ່ນລະເບີດ.
ຖາມ: ການຂູດຮີດນີ້ແມ່ນຫຍັງ? ທ່ານສາມາດອະທິບາຍສິ່ງທີ່ເກີດຂຶ້ນໃນເງື່ອນໄຂຂອງ layman?
A: ການຂູດຮີດນີ້ອະນຸຍາດໃຫ້ນັກສະແດງທີ່ບໍ່ດີສາມາດຄວບຄຸມຄອມພິວເຕີທີ່ມີຂໍ້ຄວາມເສັ້ນດຽວ. ໃນຂໍ້ກໍານົດຂອງ layman, ໄຟລ໌ບັນທຶກກໍາລັງດຶງຂໍ້ມູນໃຫມ່ແຕ່ເກີດຂື້ນກັບການອ່ານແລະປະຕິບັດຕົວຈິງກັບຂໍ້ມູນພາຍໃນໄຟລ໌ບັນທຶກ. ດ້ວຍການປ້ອນຂໍ້ມູນທີ່ສ້າງຂຶ້ນໂດຍສະເພາະ, ຄອມພິວເຕີຜູ້ເຄາະຮ້າຍຈະເອື້ອມອອກໄປຫາ ແລະເຊື່ອມຕໍ່ກັບອຸປະກອນອັນຕະລາຍແຍກຕ່າງຫາກ ເພື່ອດາວໂຫລດ ແລະປະຕິບັດການກະທຳອັນຊົ່ວຮ້າຍທີ່ຝ່າຍສັດຕູໄດ້ກະກຽມ.
ຖາມ: ມັນເປັນການຍາກຫຼາຍປານໃດທີ່ຈະ replicate ການຂູດຮີດນີ້ຢູ່ໃນ Minecraft?
A: ຊ່ອງໂຫວ່ແລະການຂູດຮີດນີ້ແມ່ນເປັນເລື່ອງເລັກນ້ອຍໃນການຕັ້ງຄ່າ, ເຊິ່ງເຮັດໃຫ້ມັນເປັນທາງເລືອກທີ່ຫນ້າສົນໃຈຫຼາຍສໍາລັບນັກສະແດງທີ່ບໍ່ດີ. ຂ້າພະເຈົ້າໄດ້ສະແດງໃຫ້ເຫັນ ຂັ້ນຕອນວິດີໂອສະແດງໃຫ້ເຫັນວິທີການນີ້ຖືກສ້າງໃຫມ່ໃນ Minecraft, ແລະ "ທັດສະນະຂອງຜູ້ໂຈມຕີ" ໃຊ້ເວລາປະມານ 10 ນາທີເພື່ອຕັ້ງຄ່າຖ້າພວກເຂົາຮູ້ວ່າພວກເຂົາເປັນແນວໃດແລະສິ່ງທີ່ພວກເຂົາຕ້ອງການ.
ຖາມ: ໃຜໄດ້ຮັບຜົນກະທົບຈາກເລື່ອງນີ້?
A: ໃນທີ່ສຸດ, ທຸກຄົນໄດ້ຮັບຜົນກະທົບຈາກສິ່ງນີ້ໃນທາງໃດທາງຫນຶ່ງຫຼືອື່ນ. ມີໂອກາດສູງທີ່ສຸດ, ເກືອບແນ່ນອນ, ທີ່ທຸກຄົນມີປະຕິສຳພັນກັບຊອບແວ ຫຼື ເທັກໂນໂລຢີບາງຢ່າງທີ່ມີຊ່ອງໂຫວ່ນີ້ຖືກຝັງໄວ້ຢູ່ບ່ອນໃດບ່ອນໜຶ່ງ.
ພວກເຮົາໄດ້ເຫັນຫຼັກຖານຂອງຄວາມອ່ອນແອໃນສິ່ງຕ່າງໆເຊັ່ນ Amazon, Tesla, Steam, ເຖິງແມ່ນວ່າ Twitter ແລະ LinkedIn. ແຕ່ຫນ້າເສຍດາຍ, ພວກເຮົາຈະເຫັນຜົນກະທົບຂອງຊ່ອງໂຫວ່ນີ້ເປັນເວລາດົນ, ໃນຂະນະທີ່ບາງຊໍແວທີ່ເປັນມໍລະດົກອາດຈະບໍ່ໄດ້ຮັບການຮັກສາຫຼືຊຸກຍູ້ການປັບປຸງໃນມື້ນີ້.
ຖາມ: ພາກສ່ວນທີ່ໄດ້ຮັບຜົນກະທົບຕ້ອງເຮັດແນວໃດເພື່ອຮັກສາລະບົບຂອງເຂົາເຈົ້າໃຫ້ປອດໄພ?
A: ດ້ວຍຄວາມຊື່ສັດ, ບຸກຄົນຄວນຈະຮັບຮູ້ກ່ຽວກັບຊອບແວແລະຄໍາຮ້ອງສະຫມັກທີ່ເຂົາເຈົ້າໃຊ້, ແລະແມ້ກະທັ້ງເຮັດການຄົ້ນຫາ Google ແບບງ່າຍດາຍສໍາລັບ "[that-software-name] log4j" ແລະກວດເບິ່ງວ່າຜູ້ຂາຍຫຼືຜູ້ໃຫ້ບໍລິການນັ້ນໄດ້ແບ່ງປັນຄໍາແນະນໍາໃດໆສໍາລັບການແຈ້ງເຕືອນກ່ຽວກັບໃຫມ່ນີ້. ໄພຂົ່ມຂູ່.
ຊ່ອງໂຫວ່ນີ້ກຳລັງສັ່ນສະເທືອນອິນເຕີເນັດ ແລະຄວາມປອດໄພທັງໝົດ. Folks ຄວນດາວໂຫຼດການອັບເດດຄວາມປອດໄພຫຼ້າສຸດຈາກຜູ້ໃຫ້ບໍລິການຂອງເຂົາເຈົ້າໄວເທົ່າທີ່ເຂົາເຈົ້າມີຢູ່ ແລະ ຍັງຄົງເຝົ້າລະວັງໃນແອັບພລິເຄຊັນທີ່ຍັງລໍຖ້າການອັບເດດຢູ່. ແລະແນ່ນອນ, ຄວາມປອດໄພຍັງຕົ້ມລົງເຖິງພື້ນຖານກະດູກເປົ່າທີ່ທ່ານບໍ່ສາມາດລືມໄດ້: ແລ່ນ antivirus ແຂງ, ໃຊ້ລະຫັດຜ່ານຍາວ, ສະລັບສັບຊ້ອນ (ຜູ້ຈັດການລະຫັດຜ່ານດິຈິຕອນແມ່ນແນະນໍາຢ່າງແຂງແຮງ!), ແລະຮູ້ໂດຍສະເພາະກ່ຽວກັບສິ່ງທີ່ນໍາສະເຫນີໃນ. ຕໍ່ຫນ້າຂອງທ່ານໃນຄອມພິວເຕີຂອງທ່ານ.
ແນະນຳໂດຍບັນນາທິການຂອງພວກເຮົາ
ມັກສິ່ງທີ່ເຈົ້າກຳລັງອ່ານຢູ່ບໍ? ທ່ານຈະມັກມັນສົ່ງໃຫ້ inbox ຂອງທ່ານທຸກອາທິດ. ລົງທະບຽນສໍາລັບຈົດຫມາຍຂ່າວ SecurityWatch.
Cops + Data Brokers = ຊ່ອງຫວ່າງທາງກົດໝາຍ
ຄະດີອາຍາໃນຮູບເງົາເກົ່າສະເຫມີຮູ້ວິທີການຂອງເຂົາເຈົ້າກ່ຽວກັບທັງສອງດ້ານທີ່ຖືກຕ້ອງແລະຜິດຂອງກົດຫມາຍ. ຖ້າເຈົ້າໜ້າທີຕຳຫຼວດຂູ່ວ່າຈະປິດປະຕູ, ເຂົາເຈົ້າກໍ່ຍິ້ມ ແລະເວົ້າວ່າ, “ໂອ້? ກັບຄືນມາໂດຍມີໃບຢັ້ງຢືນ.”
ໃນຄວາມເປັນຈິງຂອງມື້ນີ້, ຕໍາຫຼວດບໍ່ຈໍາເປັນຕ້ອງຫຍຸ້ງກ່ຽວກັບການໄດ້ຮັບໃບຢັ້ງຢືນສໍາລັບຂໍ້ມູນຂອງທ່ານຖ້າຫາກວ່າເຂົາເຈົ້າສາມາດຊື້ຂໍ້ມູນຈາກນາຍຫນ້າຂໍ້ມູນ. ໃນປັດຈຸບັນ, ພວກເຮົາບໍ່ແມ່ນຄົນທີ່ຈະ romanticize ການລະເມີດກົດຫມາຍ, ແຕ່ພວກເຮົາບໍ່ມັກການລ່ວງລະເມີດຂອງອໍານາດ, ເຊັ່ນດຽວກັນ.
ດັ່ງທີ່ Rob Pegoraro ຂອງ PCMag ຂຽນ, ນາຍຫນ້າຂໍ້ມູນສະຫນອງການບັງຄັບໃຊ້ກົດຫມາຍແລະອົງການຂ່າວລັບເພື່ອໃຫ້ໄດ້ປະມານການແກ້ໄຂຄັ້ງທີສີ່ໂດຍການອະນຸຍາດໃຫ້ຂາຍຂໍ້ມູນທີ່ເກັບກໍາກ່ຽວກັບພົນລະເມືອງເອກະຊົນ. FBI ໄດ້ເຊັນສັນຍາກັບນາຍຫນ້າຂໍ້ມູນສໍາລັບ "ກິດຈະກໍາການສືບສວນກ່ອນ" ໃນຕົວຢ່າງຫນຶ່ງ.
ຂໍຂອບໃຈກັບນະໂຍບາຍຄວາມເປັນສ່ວນຕົວຂອງແອັບຯທີ່ສັບສົນ ແລະຂໍ້ກໍານົດ ແລະເງື່ອນໄຂຂອງນາຍຫນ້າຂໍ້ມູນ, ພົນລະເມືອງອາເມລິກາໂດຍສະເລ່ຍອາດຈະບໍ່ຮູ້ວ່າຂໍ້ມູນສະຖານທີ່ໂທລະສັບຂອງເຂົາເຈົ້າເຂົ້າໄປໃນຖານຂໍ້ມູນການບັງຄັບໃຊ້ກົດໝາຍແນວໃດ. ມັນລົບກວນເຈົ້າບໍ? ຖ້າເປັນດັ່ງນັ້ນ, ມັນເປັນເວລາທີ່ຈະເອົາເລື່ອງເຂົ້າໄປໃນມືຂອງເຈົ້າເອງແລະຢຸດການລວບລວມຂໍ້ມູນຢູ່ໃນແຫຼ່ງ. ໃຊ້ຄຸນສົມບັດຄວາມເປັນສ່ວນຕົວຂອງສະຖານທີ່ທີ່ Apple ແລະ Google ສະເໜີໃຫ້ເພື່ອຮັກສາສະຖານທີ່ຂອງເຈົ້າເປັນຄວາມລັບຈາກເຈົ້າ apps. iOS ເຮັດໃຫ້ຜູ້ໃຊ້ສາມາດຮັກສາແອັບຯໃດໆຈາກການຮູ້ສະຖານທີ່ຂອງພວກເຂົາ, ແລະ Android 12 ຂອງ Google ເພີ່ມການຄວບຄຸມທີ່ຄ້າຍຄືກັນ.
ມີຫຍັງອີກແດ່ທີ່ເກີດຂື້ນໃນໂລກຄວາມປອດໄພໃນອາທິດນີ້?
ເຊັ່ນດຽວກັນກັບສິ່ງທີ່ທ່ານກໍາລັງອ່ານ?
ລົງທະບຽນສໍາລັບ ເຝົ້າຮັກສາຄວາມປອດໄພ ຈົດໝາຍຂ່າວສຳລັບເລື່ອງຄວາມເປັນສ່ວນໂຕ ແລະຄວາມປອດໄພອັນດັບຕົ້ນໆຂອງພວກເຮົາຖືກສົ່ງເຖິງອິນບັອກຂອງເຈົ້າແລ້ວ.
ຈົດໝາຍຂ່າວນີ້ອາດມີການໂຄສະນາ, ຂໍ້ສະເໜີ, ຫຼືການເຊື່ອມໂຍງທີ່ກ່ຽວຂ້ອງ. ການຈອງຈົດຫມາຍຂ່າວສະແດງເຖິງການຍິນຍອມເຫັນດີຂອງທ່ານຕໍ່ກັບພວກເຮົາ ເງື່ອນໄຂການນໍາໃຊ້ ແລະ ນະໂຍບາຍຄວາມເປັນສ່ວນຕົວ. ເຈົ້າສາມາດຍົກເລີກການຮັບຂ່າວສານຈາກຈົດໝາຍຂ່າວໄດ້ທຸກເວລາ.