„Minecraft“ demonstruojamas kritinis „Apache Log4j“ išnaudojimas

Praėjęs savaitgalis buvo blogas metas būti serverio administratoriumi. Apache Log4j atsirado kritinis pažeidžiamumas. Didelė problema? Užpuolikai turi galimybę išnaudoti atvirojo kodo „Java“ paketą, kurį naudoja visų rūšių programos, nuo „Twitter“ iki „iCloud“, kad paleistų bet kokį užpuoliko pasirinktą kodą.

Tai taip baisu, kaip skamba.

Ką „Apache Log4j Exploit“ reiškia jums ir man

Kalbėjausi su kibernetinio saugumo tyrinėtoju Johnu Hammondu iš „Huntress Labs“ apie išnaudojimą ir vėlesnius veiksmus, siekiant sumažinti žalą. Hammondas atkūrė išnaudojimą „Minecraft“ serveryje savo „YouTube“ kanalui, o rezultatai buvo didžiuliai.

Skelbti

K: Kas tai per išnaudojimas? Ar galite liaudiškai paaiškinti, kas vyksta?

A: Šis išnaudojimas leidžia blogiems veikėjams valdyti kompiuterį naudojant vieną teksto eilutę. Žodžiu, žurnalo failas gauna naują įrašą, bet nuskaito ir faktiškai vykdo duomenis žurnalo faile. Naudodamas specialiai sukurtą įvestį, aukos kompiuteris pasiektų ir prisijungtų prie atskiro kenkėjiško įrenginio, kad atsisiųstų ir atliktų visus priešo paruoštus nešvankius veiksmus.

Klausimas: Kaip sunku buvo pakartoti šį išnaudojimą „Minecraft“?

A: Šis pažeidžiamumas ir išnaudojimas yra trivialus nustatyti, todėl jis yra labai patrauklus blogiems aktoriams. Aš demonstravau vaizdo įrašas, rodantis, kaip tai buvo atkurta naudojant „Minecraft“., o „užpuoliko perspektyvos“ nustatymas užtrunka gal 10 minučių, jei jie žino, ką daro ir ko jiems reikia.

Kl.: Kam tai paveiks?

A: Galų gale visus tai vienaip ar kitaip paveikia. Yra labai didelė tikimybė, beveik neabejotina, kad kiekvienas asmuo sąveikauja su tam tikra programine įranga ar technologija, kurioje šis pažeidžiamumas yra kažkur paslėptas. 

Matėme pažeidžiamumo įrodymų, pavyzdžiui, „Amazon“, „Tesla“, „Steam“, net „Twitter“ ir „LinkedIn“. Deja, šio pažeidžiamumo poveikį matysime labai ilgai, o kai kurios pasenusios programinės įrangos šiomis dienomis gali nebūti prižiūrimos arba naujinimai nebus vykdomi.

Kl.: Ką paveiktos šalys turi daryti, kad jų sistemos būtų saugios?

A: Tiesą sakant, asmenys turėtų žinoti apie naudojamą programinę įrangą ir programas ir netgi atlikti paprastą „Google“ paiešką pagal „[that-software-name] log4j“ ir patikrinti, ar tas pardavėjas ar teikėjas pasidalijo patarimais dėl pranešimų, susijusių su šiuo nauju. grėsmė. 

Šis pažeidžiamumas išjudina visą interneto ir saugumo aplinką. Žmonės turėtų atsisiųsti naujausius saugos naujinimus iš savo teikėjų taip greitai, kaip jie pasiekiami, ir išlikti budrūs dėl programų, kurios vis dar laukia atnaujinimo. Ir, žinoma, saugumas vis tiek apsiriboja grynais pagrindais, kurių negalite pamiršti: paleiskite patikimą antivirusinę programą, naudokite ilgus, sudėtingus slaptažodžius (labai rekomenduojama naudoti skaitmeninę slaptažodžių tvarkyklę!) ir būkite ypač informuoti apie tai, kas pateikiama priešais jus savo kompiuteryje.

Patinka tai, ką skaitote? Jums patiks, kad jis bus pristatytas į jūsų pašto dėžutę kas savaitę. Prisiregistruokite gauti SecurityWatch naujienlaiškį.

Policininkai + duomenų brokeriai = teisinės spragos

Senuose filmuose nusikaltėliai visada žinojo apie teisingą ir neteisingą įstatymo puses. Jei policijos pareigūnas grasindavo išmušti jų duris, jie tik nusišypsodavo ir sakydavo: „O taip? Grįžkite su orderiu.

Šiuolaikinėje realybėje policijai nereikia vargti, kad gautų orderį jūsų duomenims, jei jie gali nusipirkti informaciją iš duomenų tarpininko. Dabar mes nesame tie, kurie romantizuoja įstatymų pažeidimus, bet nemėgstame ir galimo piktnaudžiavimo valdžia.

Kaip rašo PCMag atstovas Robas Pegoraro, duomenų brokeriai suteikia teisėsaugos ir žvalgybos agentūroms būdų, kaip apeiti Ketvirtąjį pataisą, leisdami parduoti informaciją, surinktą apie privačius piliečius. Viename pavyzdyje FTB pasirašė sutartį su duomenų brokeriu dėl „išankstinio tyrimo veiklos“.

Dėl sudėtingos programų privatumo politikos ir duomenų brokerių taisyklių ir sąlygų paprastas Amerikos pilietis tikriausiai nežino, kaip jo telefono vietos duomenys patenka į teisėsaugos duomenų bazę. Ar tai tave trikdo? Jei taip, pats laikas imtis reikalų į savo rankas ir sustabdyti duomenų rinkimą šaltinyje. Naudokite vietos privatumo funkcijas, kurias siūlo Apple ir Google, kad jūsų vieta būtų paslaptyje apps. „iOS“ leidžia vartotojams neleisti bet kuriai programai žinoti jų buvimo vietą, o „Google Android 12“ prideda panašių valdiklių.

Kas dar šią savaitę vyksta saugumo pasaulyje?