ਮਾਇਨਕਰਾਫਟ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਨਾਜ਼ੁਕ ਅਪਾਚੇ ਲੌਗ4ਜੇ ਐਕਸਪਲੋਇਟ

ਪਿਛਲੇ ਹਫਤੇ ਦੇ ਅੰਤ ਵਿੱਚ ਇੱਕ ਸਰਵਰ ਪ੍ਰਸ਼ਾਸਕ ਬਣਨ ਲਈ ਇੱਕ ਬੁਰਾ ਸਮਾਂ ਸੀ. Apache Log4j ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਸਾਹਮਣੇ ਆਈ ਹੈ। ਵੱਡੀ ਸਮੱਸਿਆ? ਹਮਲਾਵਰਾਂ ਕੋਲ ਓਪਨ-ਸੋਰਸ ਜਾਵਾ ਪੈਕੇਜ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦਾ ਮੌਕਾ ਹੁੰਦਾ ਹੈ ਜਿਸਦੀ ਵਰਤੋਂ, ਟਵਿੱਟਰ ਤੋਂ ਲੈ ਕੇ iCloud ਤੱਕ, ਹਮਲਾਵਰ ਦੁਆਰਾ ਚੁਣੇ ਗਏ ਕਿਸੇ ਵੀ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸਾਰੀਆਂ ਕਿਸਮਾਂ ਦੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਹੁੰਦੀਆਂ ਹਨ।

ਇਹ ਓਨਾ ਹੀ ਡਰਾਉਣਾ ਹੈ ਜਿੰਨਾ ਇਹ ਸੁਣਦਾ ਹੈ।

Apache Log4j ਸ਼ੋਸ਼ਣ ਦਾ ਤੁਹਾਡੇ ਅਤੇ ਮੇਰੇ ਲਈ ਕੀ ਅਰਥ ਹੈ

ਮੈਂ ਹੰਟਰੈਸ ਲੈਬਜ਼ ਦੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਜੌਨ ਹੈਮੰਡ ਨਾਲ ਸ਼ੋਸ਼ਣ ਅਤੇ ਨੁਕਸਾਨ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਬਾਅਦ ਵਿੱਚ ਕੀਤੀ ਗਈ ਝੜਪ ਬਾਰੇ ਗੱਲ ਕੀਤੀ। ਹੈਮੰਡ ਨੇ ਆਪਣੇ ਯੂਟਿਊਬ ਚੈਨਲ ਲਈ ਮਾਇਨਕਰਾਫਟ ਸਰਵਰ 'ਤੇ ਸ਼ੋਸ਼ਣ ਨੂੰ ਦੁਬਾਰਾ ਬਣਾਇਆ, ਅਤੇ ਨਤੀਜੇ ਵਿਸਫੋਟਕ ਸਨ।

Tweet

ਸਵਾਲ: ਇਹ ਸ਼ੋਸ਼ਣ ਕੀ ਹੈ? ਕੀ ਤੁਸੀਂ ਸਮਝਾ ਸਕਦੇ ਹੋ ਕਿ ਆਮ ਆਦਮੀ ਦੀਆਂ ਸ਼ਰਤਾਂ ਵਿੱਚ ਕੀ ਹੋ ਰਿਹਾ ਹੈ?

A: ਇਹ ਸ਼ੋਸ਼ਣ ਮਾੜੇ ਕਲਾਕਾਰਾਂ ਨੂੰ ਟੈਕਸਟ ਦੀ ਇੱਕ ਲਾਈਨ ਦੇ ਨਾਲ ਕੰਪਿਊਟਰ 'ਤੇ ਨਿਯੰਤਰਣ ਹਾਸਲ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਆਮ ਆਦਮੀ ਦੀਆਂ ਸ਼ਰਤਾਂ ਵਿੱਚ, ਇੱਕ ਲੌਗ ਫਾਈਲ ਇੱਕ ਨਵੀਂ ਐਂਟਰੀ ਪ੍ਰਾਪਤ ਕਰ ਰਹੀ ਹੈ ਪਰ ਲੌਗ ਫਾਈਲ ਦੇ ਅੰਦਰਲੇ ਡੇਟਾ ਨੂੰ ਪੜ੍ਹਨਾ ਅਤੇ ਅਸਲ ਵਿੱਚ ਲਾਗੂ ਕਰਨਾ ਹੁੰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਗਏ ਇਨਪੁਟ ਦੇ ਨਾਲ, ਇੱਕ ਪੀੜਤ ਕੰਪਿਊਟਰ ਕਿਸੇ ਵੀ ਘਿਣਾਉਣੀ ਕਾਰਵਾਈ ਨੂੰ ਡਾਉਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਇੱਕ ਵੱਖਰੇ ਖਤਰਨਾਕ ਡਿਵਾਈਸ ਤੱਕ ਪਹੁੰਚ ਕਰੇਗਾ ਅਤੇ ਉਸ ਨਾਲ ਜੁੜ ਜਾਵੇਗਾ ਜੋ ਵਿਰੋਧੀ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਸਵਾਲ: ਮਾਇਨਕਰਾਫਟ ਵਿੱਚ ਇਸ ਸ਼ੋਸ਼ਣ ਨੂੰ ਦੁਹਰਾਉਣਾ ਕਿੰਨਾ ਔਖਾ ਸੀ?

ਜ: ਇਹ ਕਮਜ਼ੋਰੀ ਅਤੇ ਸ਼ੋਸ਼ਣ ਸਥਾਪਤ ਕਰਨ ਲਈ ਮਾਮੂਲੀ ਹੈ, ਜੋ ਇਸਨੂੰ ਬੁਰੇ ਅਦਾਕਾਰਾਂ ਲਈ ਇੱਕ ਬਹੁਤ ਹੀ ਆਕਰਸ਼ਕ ਵਿਕਲਪ ਬਣਾਉਂਦਾ ਹੈ। ਮੈਂ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ ਮਾਇਨਕਰਾਫਟ ਵਿੱਚ ਇਸਨੂੰ ਦੁਬਾਰਾ ਕਿਵੇਂ ਬਣਾਇਆ ਗਿਆ ਇਹ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਵਾਲਾ ਇੱਕ ਵੀਡੀਓ ਵਾਕਥਰੂ, ਅਤੇ "ਹਮਲਾਵਰ ਦੇ ਦ੍ਰਿਸ਼ਟੀਕੋਣ" ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਵਿੱਚ ਸ਼ਾਇਦ 10 ਮਿੰਟ ਲੱਗਦੇ ਹਨ ਜੇਕਰ ਉਹ ਜਾਣਦੇ ਹਨ ਕਿ ਉਹ ਕੀ ਕਰ ਰਹੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਕੀ ਚਾਹੀਦਾ ਹੈ।

ਸਵਾਲ: ਇਸ ਤੋਂ ਕੌਣ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦਾ ਹੈ?

ਜਵਾਬ: ਆਖਰਕਾਰ, ਹਰ ਕੋਈ ਕਿਸੇ ਨਾ ਕਿਸੇ ਤਰੀਕੇ ਨਾਲ ਇਸ ਤੋਂ ਪ੍ਰਭਾਵਿਤ ਹੁੰਦਾ ਹੈ। ਇੱਥੇ ਇੱਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਸੰਭਾਵਨਾ ਹੈ, ਲਗਭਗ ਨਿਸ਼ਚਿਤ, ਕਿ ਹਰ ਵਿਅਕਤੀ ਕਿਸੇ ਅਜਿਹੇ ਸੌਫਟਵੇਅਰ ਜਾਂ ਤਕਨਾਲੋਜੀ ਨਾਲ ਗੱਲਬਾਤ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇਹ ਕਮਜ਼ੋਰੀ ਕਿਤੇ ਦੂਰ ਹੁੰਦੀ ਹੈ। 

ਅਸੀਂ ਐਮਾਜ਼ਾਨ, ਟੇਸਲਾ, ਸਟੀਮ, ਇੱਥੋਂ ਤੱਕ ਕਿ ਟਵਿੱਟਰ ਅਤੇ ਲਿੰਕਡਇਨ ਵਰਗੀਆਂ ਚੀਜ਼ਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀ ਦੇ ਸਬੂਤ ਦੇਖੇ ਹਨ। ਬਦਕਿਸਮਤੀ ਨਾਲ, ਅਸੀਂ ਇਸ ਕਮਜ਼ੋਰੀ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਬਹੁਤ ਲੰਬੇ ਸਮੇਂ ਲਈ ਦੇਖਾਂਗੇ, ਜਦੋਂ ਕਿ ਕੁਝ ਪੁਰਾਤਨ ਸੌਫਟਵੇਅਰ ਅੱਜਕੱਲ੍ਹ ਬਰਕਰਾਰ ਨਹੀਂ ਰੱਖੇ ਜਾ ਸਕਦੇ ਹਨ ਜਾਂ ਅੱਪਡੇਟ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ।

ਸਵਾਲ: ਪ੍ਰਭਾਵਿਤ ਪਾਰਟੀਆਂ ਨੂੰ ਆਪਣੇ ਸਿਸਟਮ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਣ ਲਈ ਕੀ ਕਰਨ ਦੀ ਲੋੜ ਹੈ?

A: ਇਮਾਨਦਾਰੀ ਨਾਲ, ਵਿਅਕਤੀਆਂ ਨੂੰ ਉਹਨਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਸੌਫਟਵੇਅਰ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਬਾਰੇ ਜਾਣੂ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ "[that-software-name] log4j" ਲਈ ਇੱਕ ਸਧਾਰਨ Google ਖੋਜ ਵੀ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ ਅਤੇ ਜਾਂਚ ਕਰੋ ਕਿ ਕੀ ਉਸ ਵਿਕਰੇਤਾ ਜਾਂ ਪ੍ਰਦਾਤਾ ਨੇ ਇਸ ਨਵੇਂ ਬਾਰੇ ਸੂਚਨਾਵਾਂ ਲਈ ਕੋਈ ਸਲਾਹ ਸਾਂਝੀ ਕੀਤੀ ਹੈ। ਧਮਕੀ. 

ਇਹ ਕਮਜ਼ੋਰੀ ਪੂਰੇ ਇੰਟਰਨੈਟ ਅਤੇ ਸੁਰੱਖਿਆ ਲੈਂਡਸਕੇਪ ਨੂੰ ਹਿਲਾ ਰਹੀ ਹੈ। ਲੋਕਾਂ ਨੂੰ ਆਪਣੇ ਪ੍ਰਦਾਤਾਵਾਂ ਤੋਂ ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਅੱਪਡੇਟ ਜਿੰਨੀ ਜਲਦੀ ਉਪਲਬਧ ਹੋਣ, ਡਾਊਨਲੋਡ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਚੌਕਸ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਅਜੇ ਵੀ ਅੱਪਡੇਟ ਦੀ ਉਡੀਕ ਕਰ ਰਹੀਆਂ ਹਨ। ਅਤੇ ਬੇਸ਼ੱਕ, ਸੁਰੱਖਿਆ ਅਜੇ ਵੀ ਬੇਅਰ-ਬੋਨਸ ਬੁਨਿਆਦ ਤੱਕ ਉਬਲਦੀ ਹੈ ਜੋ ਤੁਸੀਂ ਨਹੀਂ ਭੁੱਲ ਸਕਦੇ: ਇੱਕ ਠੋਸ ਐਂਟੀਵਾਇਰਸ ਚਲਾਓ, ਲੰਬੇ, ਗੁੰਝਲਦਾਰ ਪਾਸਵਰਡਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ (ਇੱਕ ਡਿਜੀਟਲ ਪਾਸਵਰਡ ਮੈਨੇਜਰ ਦੀ ਜ਼ੋਰਦਾਰ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ!), ਅਤੇ ਖਾਸ ਤੌਰ 'ਤੇ ਇਸ ਬਾਰੇ ਸੁਚੇਤ ਰਹੋ ਕਿ ਕੀ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ ਤੁਹਾਡੇ ਕੰਪਿਊਟਰ 'ਤੇ ਤੁਹਾਡੇ ਸਾਹਮਣੇ।

ਜਿਵੇਂ ਤੁਸੀਂ ਪੜ੍ਹ ਰਹੇ ਹੋ? ਤੁਹਾਨੂੰ ਇਸ ਨੂੰ ਹਫਤਾਵਾਰੀ ਤੁਹਾਡੇ ਇਨਬਾਕਸ ਵਿੱਚ ਡਿਲੀਵਰ ਕਰਨਾ ਪਸੰਦ ਆਵੇਗਾ। SecurityWatch ਨਿਊਜ਼ਲੈਟਰ ਲਈ ਸਾਈਨ ਅੱਪ ਕਰੋ।

ਪੁਲਿਸ + ਡੇਟਾ ਬ੍ਰੋਕਰ = ਕਾਨੂੰਨੀ ਕਮੀਆਂ

ਪੁਰਾਣੀਆਂ ਫਿਲਮਾਂ ਵਿੱਚ ਅਪਰਾਧੀ ਹਮੇਸ਼ਾ ਕਾਨੂੰਨ ਦੇ ਸਹੀ ਅਤੇ ਗਲਤ ਦੋਹਾਂ ਪੱਖਾਂ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਆਪਣਾ ਰਸਤਾ ਜਾਣਦੇ ਸਨ। ਜੇ ਕੋਈ ਪੁਲਿਸ ਅਧਿਕਾਰੀ ਉਨ੍ਹਾਂ ਦੇ ਦਰਵਾਜ਼ੇ ਨੂੰ ਤੋੜਨ ਦੀ ਧਮਕੀ ਦਿੰਦਾ ਹੈ, ਤਾਂ ਉਹ ਸਿਰਫ਼ ਮੁਸਕਰਾ ਕੇ ਕਹਿਣਗੇ, "ਓਹ ਹਾਂ? ਵਾਰੰਟ ਲੈ ਕੇ ਵਾਪਸ ਆਓ।”

ਅੱਜ ਦੀ ਅਸਲੀਅਤ ਵਿੱਚ, ਪੁਲਿਸ ਨੂੰ ਤੁਹਾਡੇ ਡੇਟਾ ਲਈ ਵਾਰੰਟ ਲੈਣ ਦੀ ਖੇਚਲ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨਹੀਂ ਹੈ ਜੇਕਰ ਉਹ ਡੇਟਾ ਬ੍ਰੋਕਰ ਤੋਂ ਜਾਣਕਾਰੀ ਖਰੀਦ ਸਕਦੇ ਹਨ। ਹੁਣ, ਅਸੀਂ ਕਾਨੂੰਨ ਤੋੜਨ ਨੂੰ ਰੋਮਾਂਟਿਕ ਬਣਾਉਣ ਵਾਲੇ ਨਹੀਂ ਹਾਂ, ਪਰ ਅਸੀਂ ਸੱਤਾ ਦੀ ਸੰਭਾਵਿਤ ਦੁਰਵਰਤੋਂ ਨੂੰ ਵੀ ਪਸੰਦ ਨਹੀਂ ਕਰਦੇ ਹਾਂ।

ਜਿਵੇਂ ਕਿ PCMag ਦੇ ਰੋਬ ਪੇਗੋਰਾਰੋ ਲਿਖਦੇ ਹਨ, ਡੇਟਾ ਬ੍ਰੋਕਰ ਪ੍ਰਾਈਵੇਟ ਨਾਗਰਿਕਾਂ ਬਾਰੇ ਇਕੱਤਰ ਕੀਤੀ ਜਾਣਕਾਰੀ ਦੀ ਵਿਕਰੀ ਦੀ ਇਜਾਜ਼ਤ ਦੇ ਕੇ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਅਤੇ ਖੁਫੀਆ ਏਜੰਸੀਆਂ ਨੂੰ ਚੌਥੀ ਸੋਧ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਤਰੀਕੇ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। FBI ਨੇ ਇੱਕ ਉਦਾਹਰਨ ਵਿੱਚ "ਪੂਰਵ-ਜਾਂਚ ਗਤੀਵਿਧੀਆਂ" ਲਈ ਇੱਕ ਡੇਟਾ ਬ੍ਰੋਕਰ ਨਾਲ ਇੱਕ ਇਕਰਾਰਨਾਮੇ 'ਤੇ ਹਸਤਾਖਰ ਕੀਤੇ।

ਗੁੰਝਲਦਾਰ ਐਪ ਗੋਪਨੀਯਤਾ ਨੀਤੀਆਂ ਅਤੇ ਡੇਟਾ ਬ੍ਰੋਕਰ ਦੇ ਨਿਯਮਾਂ ਅਤੇ ਸ਼ਰਤਾਂ ਲਈ ਧੰਨਵਾਦ, ਔਸਤ ਅਮਰੀਕੀ ਨਾਗਰਿਕ ਸ਼ਾਇਦ ਇਹ ਨਹੀਂ ਜਾਣਦਾ ਹੈ ਕਿ ਉਹਨਾਂ ਦੇ ਫ਼ੋਨ ਦਾ ਸਥਾਨ ਡੇਟਾ ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲੇ ਡੇਟਾਬੇਸ ਵਿੱਚ ਕਿਵੇਂ ਆਉਂਦਾ ਹੈ। ਕੀ ਇਹ ਤੁਹਾਨੂੰ ਪਰੇਸ਼ਾਨ ਕਰਦਾ ਹੈ? ਜੇਕਰ ਅਜਿਹਾ ਹੈ, ਤਾਂ ਇਹ ਮਾਮਲਿਆਂ ਨੂੰ ਆਪਣੇ ਹੱਥਾਂ ਵਿੱਚ ਲੈਣ ਅਤੇ ਸਰੋਤ 'ਤੇ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ ਨੂੰ ਰੋਕਣ ਦਾ ਸਮਾਂ ਹੈ। ਤੁਹਾਡੇ ਟਿਕਾਣੇ ਨੂੰ ਤੁਹਾਡੇ ਤੋਂ ਗੁਪਤ ਰੱਖਣ ਲਈ ਐਪਲ ਅਤੇ ਗੂਗਲ ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੀਆਂ ਗਈਆਂ ਸਥਾਨ ਗੋਪਨੀਯਤਾ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ apps. ਆਈਓਐਸ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਿਸੇ ਵੀ ਐਪ ਨੂੰ ਉਨ੍ਹਾਂ ਦੀ ਸਥਿਤੀ ਜਾਣਨ ਤੋਂ ਰੋਕਣ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਗੂਗਲ ਦਾ ਐਂਡਰਾਇਡ 12 ਸਮਾਨ ਨਿਯੰਤਰਣ ਜੋੜਦਾ ਹੈ।

ਇਸ ਹਫ਼ਤੇ ਸੁਰੱਖਿਆ ਸੰਸਾਰ ਵਿੱਚ ਹੋਰ ਕੀ ਹੋ ਰਿਹਾ ਹੈ?