Минатиот викенд беше лошо време да се биде администратор на серверот. Критична ранливост се појави во Apache Log4j. Големиот проблем? Напаѓачите имаат шанса да го искористат пакетот Java со отворен код кој сите видови апликации, од Twitter до iCloud, го користат за извршување на кој било код што ќе го избере напаѓачот.
Тоа е толку страшно колку и да звучи.
Што значи експлоатацијата на Apache Log4j за тебе и мене
Зборував со истражувачот за сајбер безбедност Џон Хамонд од Huntress Labs за експлоатацијата и последователната борба за ублажување на штетата. Хамонд го рекреираше експлоатот на серверот Minecraft за неговиот канал на YouTube, а резултатите беа експлозивни.
П: Каква е оваа експлоатација? Можеш ли лаички да објасниш што се случува?
О: Овој експлоат им овозможува на лошите актери да добијат контрола над компјутерот со една линија текст. Во лаички термини, датотеката за евиденција презема нов запис, но се случува да чита и всушност да извршува податоци во датотеката за евиденција. Со специјално изработен влез, компјутерот-жртва би допрел и ќе се поврзе со посебен злонамерен уред за да ги преземе и изврши сите злобни дејства што ги подготвил противникот.
П: Колку беше тешко да се повтори оваа експлоатација во Minecraft?
О: Оваа ранливост и експлоатација е тривијална за поставување, што ја прави многу привлечна опција за лошите актери. Јас покажав видео преглед кој покажува како ова е пресоздадено во Minecraft, а на „перспективата на напаѓачот“ му требаат можеби 10 минути за да се постави ако знаат што прават и што им треба.
П: Кој е засегнат од ова?
О: На крајот на краиштата, сите се засегнати од ова на некој или друг начин. Постои исклучително голема шанса, речиси сигурна, дека секој човек има интеракција со некој софтвер или технологија што ја има оваа ранливост сокриена некаде.
Видовме докази за ранливоста во работи како Amazon, Tesla, Steam, дури и Twitter и LinkedIn. За жал, ќе го гледаме влијанието на оваа ранливост многу долго време, додека некој наследен софтвер можеби нема да се одржува или да врши ажурирања овие денови.
П: Што треба да направат засегнатите страни за да ги задржат своите системи безбедни?
О: Искрено, поединците треба да останат свесни за софтверот и апликациите што ги користат, па дури и да направат едноставно пребарување на Google за „[that-software-name] log4j“ и да проверат дали тој продавач или провајдер споделил какви било совети за известувања во врска со оваа нова закана.
Оваа ранливост го потресува целиот интернет и безбедносен пејзаж. Луѓето треба да ги преземат најновите безбедносни ажурирања од нивните провајдери толку брзо колку што се достапни и да бидат внимателни за апликациите што сè уште чекаат ажурирање. И, се разбира, безбедноста сè уште се сведува на основните основи што не можете да ги заборавите: стартувајте цврст антивирус, користете долги, сложени лозинки (силно се препорачува менаџер за дигитални лозинки!) и бидете особено свесни за она што е претставено во пред вас на вашиот компјутер.
Препорачано од нашите уредници
Ви се допаѓа тоа што го читате? Ќе ви се допадне што се доставува до вашето сандаче неделно. Пријавете се за билтенот на SecurityWatch.
Полицајци + Брокери за податоци = Правни дупки
Криминалците во старите филмови отсекогаш го знаеле својот пат околу вистинската и погрешната страна на законот. Ако некој полицаец се закани дека ќе им ја сруши вратата, тие само ќе се насмееја и ќе речеа: „А, да? Врати се со налог“.
Во денешната реалност, полицијата не треба да се мачи да добие налог за вашите податоци ако може да ги купи информациите од брокер за податоци. Сега, ние не сме оние кои го романтизираат кршењето на законите, но не ни се допаѓаат ниту можните злоупотреби на моќ.
Како што пишува Роб Пегораро од PCMag, брокерите на податоци им обезбедуваат на органите за спроведување на законот и на разузнавачките агенции начини да го заобиколат Четвртиот амандман со тоа што дозволуваат продажба на информации собрани за приватни граѓани. ФБИ потпиша договор со брокер за податоци за „предистражни активности“ во еден пример.
Благодарение на сложените политики за приватност на апликациите и условите за брокерот за податоци, просечниот американски граѓанин веројатно не знае како податоците за локацијата на нивниот телефон влегуваат во базата на податоци за спроведување на законот. Дали тоа ви пречи? Ако е така, време е да ги преземете работите во свои раце и да го запрете собирањето податоци на изворот. Користете ги функциите за приватност на локацијата што ги нудат Apple и Google за да ја чувате вашата локација во тајност од вашата apps. iOS им овозможува на корисниците да не ја знаат секоја апликација за нивната локација, а Android 12 на Google додава слични контроли.
Што друго се случува во безбедносниот свет оваа недела?
Ви се допаѓа она што го читате?
Регистрирај се на Facebook за Безбедносен часовник билтен за нашите врвни приказни за приватност и безбедност доставени директно до вашето сандаче.
Овој билтен може да содржи рекламирање, зделки или партнерски врски. Претплатата на билтен ја покажува вашата согласност за нашата Услови на употреба Приватност. Може да се откажете од билтените во секое време.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba