Forrige helg var et dårlig tidspunkt å være serveradministrator. En kritisk sårbarhet dukket opp i Apache Log4j. Det store problemet? Angripere har sjansen til å utnytte Java-pakken med åpen kildekode som alle typer applikasjoner, fra Twitter til iCloud, bruker til å kjøre hvilken som helst kode en angriper velger.
Det er like skummelt som det høres ut.
Hva Apache Log4j-utnyttelsen betyr for deg og meg
Jeg snakket med cybersikkerhetsforsker John Hammond fra Huntress Labs om utnyttelsen og den påfølgende kampen for å redusere skaden. Hammond gjenskapte utnyttelsen på en Minecraft-server for YouTube-kanalen hans, og resultatene var eksplosive.
Spørsmål: Hva er denne utnyttelsen? Kan du forklare hva som skjer i lekmannstermer?
A: Denne utnyttelsen lar dårlige skuespillere få kontroll over en datamaskin med en enkelt tekstlinje. I lekmannstermer henter en loggfil en ny oppføring, men den leser og kjører faktisk data inne i loggfilen. Med spesifikt utformet input, vil en offerdatamaskin nå ut til og koble til en separat ondsinnet enhet for å laste ned og utføre alle ondsinnede handlinger som motstanderen har forberedt.
Spørsmål: Hvor vanskelig var det å gjenskape denne utnyttelsen i Minecraft?
A: Denne sårbarheten og utnyttelsen er triviell å sette opp, noe som gjør den til et veldig attraktivt alternativ for dårlige skuespillere. Jeg har vist frem en videogjennomgang som viser hvordan dette ble gjenskapt i Minecraft, og "angriperens perspektiv" tar kanskje 10 minutter å sette opp hvis de vet hva de driver med og hva de trenger.
Q: Hvem er berørt av dette?
A: Til syvende og sist er alle berørt av dette på en eller annen måte. Det er en ekstremt stor sjanse, nesten sikker, at hver person samhandler med programvare eller teknologi som har denne sårbarheten gjemt bort et sted.
Vi har sett bevis på sårbarheten i ting som Amazon, Tesla, Steam, til og med Twitter og LinkedIn. Dessverre vil vi se virkningen av dette sikkerhetsproblemet i svært lang tid, mens noe eldre programvare kanskje ikke blir vedlikeholdt eller push-oppdateringer i disse dager.
Spørsmål: Hva må berørte parter gjøre for å holde systemene sine trygge?
A: Ærlig talt, enkeltpersoner bør holde seg klar over programvaren og applikasjonene de bruker, og til og med gjøre et enkelt Google-søk etter «[det-programvarenavnet] log4j» og sjekke om den leverandøren eller leverandøren har delt noen råd for varsler angående denne nye trussel.
Denne sårbarheten ryster hele Internett- og sikkerhetslandskapet. Folk bør laste ned de siste sikkerhetsoppdateringene fra leverandørene sine så raskt som de er tilgjengelige og være på vakt mot applikasjoner som fortsatt venter på en oppdatering. Og selvfølgelig koker sikkerhet fortsatt ned til det grunnleggende du ikke kan glemme: kjør et solid antivirus, bruk lange, komplekse passord (en digital passordbehandler anbefales på det sterkeste!), og vær spesielt oppmerksom på hva som presenteres i foran deg på datamaskinen.
Anbefalt av våre redaktører
Liker du det du leser? Du vil elske den levert til innboksen din ukentlig. Registrer deg for SecurityWatch-nyhetsbrevet.
Politi + Datameglere = Juridiske smutthull
Kriminelle i gamle filmer kjente alltid veien rundt både rett og gal side av loven. Hvis en politimann truet med å bryte ned døren deres, ville de bare smile og si: «Åh ja? Kom tilbake med en kjennelse."
I dagens virkelighet trenger ikke politiet å bry seg med å få en arrestordre for dataene dine hvis de kan kjøpe informasjonen fra en datamegler. Nå er det ikke vi som romantiserer lovbrudd, men vi liker ikke mulig maktmisbruk heller.
Som PCMags Rob Pegoraro skriver, gir datameglere rettshåndhevelse og etterretningsbyråer måter å komme seg rundt den fjerde endringen ved å tillate salg av informasjon samlet om private borgere. FBI signerte en kontrakt med en datamegler for "pre-etterforskningsaktiviteter" i ett eksempel.
Takket være innviklede personvernregler for apper og vilkår og betingelser for datamegler, vet den gjennomsnittlige amerikanske borgeren sannsynligvis ikke hvordan telefonens plasseringsdata kommer inn i en politidatabase. Plager det deg? I så fall er det på tide å ta saken i egne hender og stoppe datainnsamlingen ved kilden. Bruk posisjonspersonvernfunksjonene Apple og Google tilbyr for å holde posisjonen din hemmelig for deg apps. iOS lar brukere holde enhver app fra å vite posisjonen deres, og Googles Android 12 legger til lignende kontroller.
Hva annet skjer i sikkerhetsverdenen denne uken?
Liker du det du leser?
Meld deg på Sikkerhetsvakt nyhetsbrev for våre beste personvern- og sikkerhetshistorier levert rett til innboksen din.
Dette nyhetsbrevet kan inneholde reklame, avtaler eller tilknyttede lenker. Å abonnere på et nyhetsbrev indikerer ditt samtykke til vårt Vilkår for bruk og Personvernserklæring. Du kan når som helst avslutte abonnementet på nyhetsbrev.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba