Ostatni weekend był zły na bycie administratorem serwera. W Apache Log4j pojawiła się krytyczna luka. Duży problem? Atakujący mają szansę wykorzystać pakiet Java o otwartym kodzie źródłowym, którego używają wszystkie rodzaje aplikacji, od Twittera po iCloud, do wykonania dowolnego kodu wybranego przez atakującego.
To tak przerażające, jak się wydaje.
Co exploit Apache Log4j oznacza dla Ciebie i dla mnie?
Rozmawiałem z badaczem cyberbezpieczeństwa Johnem Hammondem z Huntress Labs na temat exploita i późniejszej walki o złagodzenie szkód. Hammond odtworzył exploit na serwerze Minecrafta na swój kanał YouTube, a wyniki były wybuchowe.
P: Co to za exploit? Czy możesz wyjaśnić, co się dzieje w kategoriach laika?
O: Ten exploit pozwala złym aktorom przejąć kontrolę nad komputerem za pomocą jednej linii tekstu. Mówiąc językiem laika, plik dziennika pobiera nowy wpis, ale zdarza się, że odczytuje i faktycznie wykonuje dane w pliku dziennika. Za pomocą specjalnie spreparowanych danych wejściowych komputer ofiary sięgałby do oddzielnego złośliwego urządzenia i łączył się z nim, aby pobrać i wykonać wszelkie przygotowane przez przeciwnika nikczemne działania.
P: Jak trudno było odtworzyć ten exploit w Minecrafcie?
O: Ta luka i exploit są proste do skonfigurowania, co czyni je bardzo atrakcyjną opcją dla złych aktorów. zaprezentowałem instruktaż wideo pokazujący, jak to zostało odtworzone w Minecrafcie, a „perspektywa napastnika” zajmuje około 10 minut, jeśli wiedzą, co robią i czego potrzebują.
P: Kogo to dotyczy?
Odp.: Ostatecznie, w taki czy inny sposób wpływa to na wszystkich. Istnieje bardzo duża szansa, prawie pewna, że każda osoba wchodzi w interakcję z jakimś oprogramowaniem lub technologią, w której ta luka jest gdzieś ukryta.
Widzieliśmy dowody na lukę w takich rzeczach jak Amazon, Tesla, Steam, a nawet Twitter i LinkedIn. Niestety, skutki tej luki będziemy obserwować przez bardzo długi czas, podczas gdy niektóre starsze oprogramowanie mogą nie być obecnie utrzymywane lub aktualizowane.
P: Co muszą zrobić zainteresowane strony, aby zapewnić bezpieczeństwo swoich systemów?
O: Szczerze mówiąc, osoby fizyczne powinny być świadome oprogramowania i aplikacji, z których korzystają, a nawet wykonać proste wyszukiwanie w Google „[nazwa-oprogramowania] log4j” i sprawdzić, czy ten dostawca lub dostawca udostępnił jakiekolwiek porady dotyczące powiadomień dotyczących tego nowego groźba.
Ta luka wstrząsa całym środowiskiem Internetu i bezpieczeństwa. Użytkownicy powinni pobierać najnowsze aktualizacje zabezpieczeń od swoich dostawców tak szybko, jak są one dostępne i zachować czujność w przypadku aplikacji, które wciąż czekają na aktualizację. I oczywiście bezpieczeństwo nadal sprowadza się do podstawowych podstaw, o których nie można zapomnieć: uruchom solidny program antywirusowy, używaj długich, złożonych haseł (zalecany jest cyfrowy menedżer haseł!) i zwracaj szczególną uwagę na to, co jest przedstawione w przed tobą na twoim komputerze.
Polecane przez naszych redaktorów
Podoba Ci się to, co czytasz? Spodoba Ci się dostarczany co tydzień do Twojej skrzynki odbiorczej. Zapisz się do newslettera SecurityWatch.
Policjanci + brokerzy danych = luki prawne
Przestępcy w starych filmach zawsze znali zarówno dobre, jak i złe strony prawa. Jeśli funkcjonariusz policji groził, że wyważy ich drzwi, po prostu uśmiechnęliby się i powiedzieli: „O tak? Wróć z nakazem.
W dzisiejszej rzeczywistości policja nie musi zawracać sobie głowy uzyskaniem nakazu na twoje dane, jeśli może kupić informacje od brokera danych. Nie jesteśmy tymi, którzy romantyzują łamanie prawa, ale nie lubimy też możliwych nadużyć władzy.
Jak pisze Rob Pegoraro z PCMag, brokerzy danych zapewniają organom ścigania i agencjom wywiadowczym sposoby obejścia Czwartej Poprawki, zezwalając na sprzedaż informacji zebranych o prywatnych obywatelach. W jednym przykładzie FBI podpisało umowę z brokerem danych na „działania przedśledcze”.
Dzięki zawiłym politykom prywatności aplikacji i warunkom pośrednictwa danych, przeciętny obywatel USA prawdopodobnie nie wie, w jaki sposób dane o lokalizacji jego telefonu trafiają do bazy danych organów ścigania. Przeszkadza ci to? Jeśli tak, czas wziąć sprawy w swoje ręce i zatrzymać gromadzenie danych u źródła. Skorzystaj z funkcji prywatności lokalizacji oferowanych przez Apple i Google, aby utrzymać swoją lokalizację w tajemnicy przed Twoim apps. iOS pozwala użytkownikom uniemożliwić dowolnej aplikacji poznanie ich lokalizacji, a system Android 12 firmy Google dodaje podobne elementy sterujące.
Co jeszcze dzieje się w świecie bezpieczeństwa w tym tygodniu?
Podoba Ci się to, co czytasz?
Zapisz się na Zegarek bezpieczeństwa biuletyn z naszymi najważniejszymi historiami dotyczącymi prywatności i bezpieczeństwa dostarczanymi bezpośrednio do Twojej skrzynki odbiorczej.
Ten biuletyn może zawierać reklamy, oferty lub linki partnerskie. Zapisanie się do newslettera oznacza zgodę na nasze Warunki korzystania i Polityka prywatności. W każdej chwili możesz zrezygnować z otrzymywania biuletynów.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba