Прошлые выходные были плохим временем для администратора сервера. В Apache Log4j обнаружена критическая уязвимость. Большая проблема? Злоумышленники имеют возможность использовать пакет Java с открытым исходным кодом, который все виды приложений, от Twitter до iCloud, используют для выполнения любого кода, выбранного злоумышленником.
Это так же страшно, как звучит.
Что означает эксплойт Apache Log4j для вас и меня
Я поговорил с исследователем кибербезопасности Джоном Хаммондом из Huntress Labs об уязвимости и последующей попытке уменьшить ущерб. Хаммонд воссоздал эксплойт на сервере Minecraft для своего канала на YouTube, и результаты были взрывоопасными.
В: Что это за эксплойт? Можете ли вы объяснить, что происходит, с точки зрения непрофессионала?
О: Этот эксплойт позволяет злоумышленникам получить контроль над компьютером с помощью одной строки текста. С точки зрения непрофессионала, файл журнала извлекает новую запись, но происходит чтение и фактическое выполнение данных внутри файла журнала. Со специально созданным вводом компьютер-жертва будет обращаться к отдельному вредоносному устройству и подключаться к нему, чтобы загрузить и выполнить любые гнусные действия, подготовленные противником.
В: Насколько сложно было воспроизвести этот эксплойт в Minecraft?
О: Эту уязвимость и эксплойт легко настроить, что делает ее очень привлекательной для злоумышленников. я продемонстрировал пошаговое видео, демонстрирующее, как это было воссоздано в Minecraft, а «с точки зрения злоумышленника» требуется около 10 минут для настройки, если они знают, что они замышляют и что им нужно.
Вопрос: Кого это касается?
О: В конечном счете, это так или иначе затрагивает всех. Существует чрезвычайно высокая вероятность, почти определенная, что каждый человек взаимодействует с каким-то программным обеспечением или технологией, в которой где-то спрятана эта уязвимость.
Мы видели доказательства уязвимости в таких вещах, как Amazon, Tesla, Steam, даже Twitter и LinkedIn. К сожалению, влияние этой уязвимости мы будем наблюдать еще очень долго, в то время как некоторые устаревшие программы могут не поддерживаться и не обновляться в наши дни.
Вопрос. Что должны сделать затронутые стороны, чтобы обеспечить безопасность своих систем?
О: Честно говоря, люди должны быть осведомлены о программном обеспечении и приложениях, которые они используют, и даже выполнить простой поиск в Google «[это имя программного обеспечения] log4j» и проверить, не поделился ли этот поставщик или провайдер какими-либо рекомендациями для уведомлений об этом новом угроза.
Эта уязвимость потрясает весь Интернет и ландшафт безопасности. Люди должны загружать последние обновления безопасности от своих поставщиков как можно быстрее, как только они становятся доступны, и сохранять бдительность в отношении приложений, которые все еще ожидают обновления. И, конечно же, безопасность по-прежнему сводится к элементарным основам, которые вы не можете забыть: запустите надежный антивирус, используйте длинные и сложные пароли (настоятельно рекомендуется цифровой менеджер паролей!), и будьте особенно осведомлены о том, что представлено в перед вами на вашем компьютере.
Рекомендовано нашими редакторами
Нравится то, что вы читаете? Вам понравится, что он будет еженедельно доставляться на ваш почтовый ящик. Подпишитесь на рассылку новостей SecurityWatch.
Полицейские + брокеры данных = юридические лазейки
Преступники в старых фильмах всегда умели обходиться как с правой, так и с неправильной стороной закона. Если полицейский угрожал выломать их дверь, они просто ухмылялись и говорили: «О да? Возвращайся с ордером.
В сегодняшней реальности полиции не нужно беспокоиться о получении ордера на ваши данные, если они могут купить информацию у брокера данных. Мы не из тех, кто романтизирует нарушение закона, но нам также не нравятся возможные злоупотребления властью.
Как пишет Роб Пегораро из PCMag, брокеры данных предоставляют правоохранительным органам и спецслужбам способы обойти Четвертую поправку, разрешая продажу информации, собранной о частных лицах. В одном примере ФБР подписало контракт с брокером данных на «предварительные следственные действия».
Благодаря запутанной политике конфиденциальности приложений и условиям брокера данных средний гражданин США, вероятно, не знает, как данные о местоположении их телефона попадают в базу данных правоохранительных органов. Это беспокоит тебя? Если да, то пришло время взять дело в свои руки и прекратить сбор данных у источника. Используйте функции конфиденциальности местоположения, предлагаемые Apple и Google, чтобы сохранить ваше местоположение в секрете от вашего apps. iOS позволяет пользователям запретить любому приложению знать их местоположение, а Android 12 от Google добавляет аналогичные элементы управления.
Что еще происходит в мире безопасности на этой неделе?
Нравится то, что вы читаете?
Зарегистрируйте Безопасность информационный бюллетень с нашими главными историями о конфиденциальности и безопасности, доставляемыми прямо в ваш почтовый ящик.
Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на информационный бюллетень означает ваше согласие с нашими Условия использования и Персональные данные. Вы можете отказаться от подписки на информационные бюллетени в любое время.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba