O fim de semana passado foi um mau momento para ser um administrador de servidor. Uma vulnerabilidade crítica surgiu no Apache Log4j. O grande problema? Os invasores têm a chance de explorar o pacote Java de código aberto que todos os tipos de aplicativos, do Twitter ao iCloud, usam para executar qualquer código que um invasor escolher.
Isso é tão assustador quanto parece.
O que a exploração do Apache Log4j significa para você e para mim
Conversei com o pesquisador de segurança cibernética John Hammond, da Huntress Labs, sobre a exploração e a subsequente luta para mitigar os danos. Hammond recriou a exploração em um servidor Minecraft para seu canal no YouTube, e os resultados foram explosivos.
P: O que é essa exploração? Você pode explicar o que está acontecendo em termos leigos?
R: Essa exploração permite que os maus atores obtenham o controle de um computador com uma única linha de texto. Em termos leigos, um arquivo de log está recuperando uma nova entrada, mas está lendo e realmente executando os dados dentro do arquivo de log. Com uma entrada especificamente criada, o computador da vítima alcançaria e se conectaria a um dispositivo malicioso separado para baixar e executar quaisquer ações nefastas que o adversário tenha preparado.
P: Quão difícil foi replicar esse exploit no Minecraft?
R: Essa vulnerabilidade e exploração são triviais de configurar, o que a torna uma opção muito atraente para agentes mal-intencionados. eu mostrei um passo a passo em vídeo demonstrando como isso foi recriado no Minecraft, e a “perspectiva do invasor” leva talvez 10 minutos para configurar se eles souberem o que estão fazendo e o que precisam.
P: Quem é afetado por isso?
R: Em última análise, todos são afetados por isso de uma forma ou de outra. Há uma chance extremamente alta, quase certa, de que cada pessoa interaja com algum software ou tecnologia que tenha essa vulnerabilidade escondida em algum lugar.
Vimos evidências da vulnerabilidade em coisas como Amazon, Tesla, Steam e até Twitter e LinkedIn. Infelizmente, veremos o impacto dessa vulnerabilidade por muito tempo, enquanto alguns softwares legados podem não ser mantidos ou enviar atualizações atualmente.
P: O que as partes afetadas precisam fazer para manter seus sistemas seguros?
R: Honestamente, os indivíduos devem estar cientes do software e dos aplicativos que usam e até mesmo fazer uma simples pesquisa no Google por "[that-software-name] log4j" e verificar se esse fornecedor ou provedor compartilhou algum aviso para notificações sobre esse novo ameaça.
Essa vulnerabilidade está abalando todo o cenário da Internet e da segurança. As pessoas devem baixar as atualizações de segurança mais recentes de seus provedores assim que estiverem disponíveis e permanecer vigilantes em aplicativos que ainda aguardam uma atualização. E, claro, a segurança ainda se resume ao básico básico que você não pode esquecer: execute um antivírus sólido, use senhas longas e complexas (um gerenciador de senhas digital é altamente recomendado!) à sua frente no computador.
Recomendado por nossos editores
Gostou do que está lendo? Você vai adorar, entregue em sua caixa de entrada semanalmente. Inscreva-se no boletim informativo do SecurityWatch.
Policiais + corretores de dados = brechas legais
Criminosos em filmes antigos sempre sabiam como lidar com os lados certo e errado da lei. Se um policial ameaçasse arrombar sua porta, eles apenas sorriam e diziam: “Ah, sim? Volte com um mandado.”
Na realidade de hoje, a polícia não precisa se preocupar em obter um mandado para seus dados se puder comprar as informações de um corretor de dados. Agora, não somos de romantizar a violação da lei, mas também não gostamos de possíveis abusos de poder.
Como escreve Rob Pegoraro, da PCMag, os corretores de dados fornecem às agências policiais e de inteligência maneiras de contornar a Quarta Emenda, permitindo a venda de informações coletadas sobre cidadãos particulares. O FBI assinou um contrato com um corretor de dados para “atividades pré-investigativas” em um exemplo.
Graças às complicadas políticas de privacidade de aplicativos e aos termos e condições do corretor de dados, o cidadão americano médio provavelmente não sabe como os dados de localização de seu telefone entram em um banco de dados de aplicação da lei. Isso te incomoda? Nesse caso, é hora de resolver o problema com suas próprias mãos e interromper a coleta de dados na fonte. Use os recursos de privacidade de localização que a Apple e o Google oferecem para manter sua localização em segredo de seus apps. O iOS permite que os usuários impeçam qualquer aplicativo de saber sua localização, e o Android 12 do Google adiciona controles semelhantes.
O que mais está acontecendo no mundo da segurança esta semana?
Gosta do que você está lendo?
Registe-se para Vigilância de segurança newsletter para nossas principais histórias de privacidade e segurança entregues diretamente na sua caixa de entrada.
Este boletim informativo pode conter publicidade, negócios ou links de afiliados. A assinatura de um boletim informativo indica seu consentimento com o nosso Termos de Uso e Política de Privacidade. Você pode cancelar a assinatura dos boletins informativos a qualquer momento.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba