Afgelopen weekend was een slechte tijd om serverbeheerder te zijn. Er is een kritieke kwetsbaarheid ontstaan in Apache Log4j. Het grote probleem? Aanvallers hebben de kans om het open-source Java-pakket te misbruiken dat allerlei toepassingen, van Twitter tot iCloud, gebruiken om elke gewenste code uit te voeren.
Dat is net zo eng als het klinkt.
Wat de Apache Log4j-exploit voor u en mij betekent
Ik sprak met cyberbeveiligingsonderzoeker John Hammond van Huntress Labs over de exploit en de daaropvolgende strijd om de schade te beperken. Hammond recreëerde de exploit op een Minecraft-server voor zijn YouTube-kanaal en de resultaten waren explosief.
V: Wat is deze exploit? Kunt u in lekentaal uitleggen wat er gebeurt?
A: Deze exploit stelt kwaadwillenden in staat controle te krijgen over een computer met een enkele regel tekst. In lekentermen: een logbestand haalt een nieuw item op, maar leest toevallig gegevens in het logbestand en voert deze daadwerkelijk uit. Met speciaal vervaardigde invoer zou een slachtoffercomputer contact opnemen met en verbinding maken met een afzonderlijk kwaadaardig apparaat om kwaadaardige acties die de tegenstander heeft voorbereid, te downloaden en uit te voeren.
V: Hoe moeilijk was het om deze exploit in Minecraft te repliceren?
A: Deze kwetsbaarheid en exploit is eenvoudig op te zetten, waardoor het een zeer aantrekkelijke optie is voor kwaadwillenden. ik heb gedemonstreerd een video-walkthrough die laat zien hoe dit opnieuw is gemaakt in Minecraft, en het "aanvallersperspectief" duurt misschien 10 minuten om op te zetten als ze weten wat ze van plan zijn en wat ze nodig hebben.
V: Wie wordt hierdoor geraakt?
A: Uiteindelijk wordt iedereen hier op de een of andere manier door beïnvloed. Er is een extreem grote kans, bijna zeker, dat elke persoon communiceert met software of technologie waarin deze kwetsbaarheid ergens is weggestopt.
We hebben bewijs van de kwetsbaarheid gezien in zaken als Amazon, Tesla, Steam, zelfs Twitter en LinkedIn. Helaas zullen we de impact van deze kwetsbaarheid nog heel lang zien, terwijl sommige verouderde software tegenwoordig mogelijk niet wordt onderhouden of updates pusht.
V: Wat moeten betrokken partijen doen om hun systemen veilig te houden?
A: Eerlijk gezegd, individuen moeten op de hoogte blijven van de software en applicaties die ze gebruiken, en zelfs een eenvoudige Google-zoekopdracht uitvoeren naar "[naam-van-software] log4j" en controleren of die leverancier of provider eventuele adviezen heeft gedeeld voor meldingen met betrekking tot deze nieuwe bedreiging.
Deze kwetsbaarheid schudt het hele internet- en beveiligingslandschap door elkaar. Mensen moeten de nieuwste beveiligingsupdates van hun providers downloaden zo snel als ze beschikbaar zijn en waakzaam blijven voor applicaties die nog op een update wachten. En natuurlijk komt beveiliging nog steeds neer op de kale basis die u niet mag vergeten: voer een solide antivirusprogramma uit, gebruik lange, complexe wachtwoorden (een digitale wachtwoordbeheerder wordt sterk aanbevolen!), en let vooral op wat er wordt gepresenteerd in voor je op je computer.
Aanbevolen door onze redactie
Vind je het leuk wat je leest? Je zult het geweldig vinden als het wekelijks in je inbox wordt bezorgd. Meld u aan voor de SecurityWatch-nieuwsbrief.
Politie + gegevensmakelaars = mazen in de wet
Criminelen in oude films wisten altijd hun weg te vinden in zowel de goede als de verkeerde kant van de wet. Als een politieagent dreigde hun deur in te breken, grijnsden ze gewoon en zeiden: 'Oh ja? Kom terug met een bevelschrift.'
In de realiteit van vandaag hoeft de politie niet de moeite te nemen om een bevel voor uw gegevens te krijgen als ze de informatie van een gegevensmakelaar kunnen kopen. Nu zijn we niet degenen die wetsovertredingen romantiseren, maar we houden ook niet van mogelijk machtsmisbruik.
Zoals Rob Pegoraro van PCMag schrijft, bieden gegevensmakelaars wetshandhavings- en inlichtingendiensten manieren om het vierde amendement te omzeilen door de verkoop van verzamelde informatie over particulieren toe te staan. De FBI tekende bijvoorbeeld een contract met een datamakelaar voor 'pre-onderzoeksactiviteiten'.
Dankzij het ingewikkelde app-privacybeleid en de algemene voorwaarden van datamakelaars, weet de gemiddelde Amerikaanse burger waarschijnlijk niet hoe de locatiegegevens van hun telefoon in een politiedatabase terechtkomen. Heb je daar last van? Dan is het tijd om het heft in eigen handen te nemen en de dataverzameling bij de bron te stoppen. Gebruik de locatieprivacyfuncties die Apple en Google aanbieden om uw locatie voor u geheim te houden apps. Met iOS kunnen gebruikers voorkomen dat elke app hun locatie weet, en Android 12 van Google voegt vergelijkbare bedieningselementen toe.
Wat gebeurt er deze week nog meer in de beveiligingswereld?
Zoals wat je leest?
MELD U AAN VOOR Beveiligingswacht nieuwsbrief voor onze belangrijkste verhalen over privacy en beveiliging, rechtstreeks in uw inbox.
Deze nieuwsbrief kan advertenties, deals of gelieerde links bevatten. Door u te abonneren op een nieuwsbrief geeft u aan dat u akkoord gaat met ons Gebruiksvoorwaarden en Privacy Policy. U kunt zich op elk moment uitschrijven voor de nieuwsbrieven.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba