Minulý víkend bol zlý čas byť administrátorom servera. V Apache Log4j sa objavila kritická zraniteľnosť. Veľký problém? Útočníci majú možnosť využiť open-source balík Java, ktorý používajú všetky druhy aplikácií, od Twitteru po iCloud, na spustenie akéhokoľvek kódu, ktorý si útočník vyberie.
Je to také strašidelné, ako to znie.
Čo znamená Apache Log4j Exploit pre vás a mňa
Hovoril som s výskumníkom v oblasti kybernetickej bezpečnosti Johnom Hammondom z Huntress Labs o zneužití a následnom úsilí o zmiernenie škôd. Hammond znovu vytvoril exploit na serveri Minecraft pre svoj kanál YouTube a výsledky boli výbušné.
Otázka: Čo je to exploit? Viete laicky vysvetliť, čo sa deje?
Odpoveď: Tento exploit umožňuje zlým hercom získať kontrolu nad počítačom pomocou jediného riadku textu. Laicky povedané, súbor denníka získava nový záznam, ale náhodou číta a skutočne vykonáva údaje v súbore denníka. So špecificky vytvoreným vstupom by počítač obete siahol a pripojil sa k samostatnému škodlivému zariadeniu, aby si stiahol a vykonal akékoľvek hanebné akcie, ktoré protivník pripravil.
Otázka: Aké ťažké bolo replikovať tento exploit v Minecrafte?
Odpoveď: Nastavenie tejto zraniteľnosti a zneužitia je triviálne, čo z nej robí veľmi atraktívnu možnosť pre zlých hercov. Predviedla som video návod, ktorý ukazuje, ako to bolo znovu vytvorené v Minecrafte, a nastavenie „útočníkovej perspektívy“ trvá možno 10 minút, ak vedia, na čom sú a čo potrebujú.
Otázka: Koho sa to týka?
A: V konečnom dôsledku je to tak či onak ovplyvnené každým. Existuje extrémne vysoká pravdepodobnosť, takmer istá, že každý človek interaguje s nejakým softvérom alebo technológiou, ktorá má túto zraniteľnosť niekde zastrčenú.
Videli sme dôkazy o zraniteľnosti vo veciach ako Amazon, Tesla, Steam, dokonca aj Twitter a LinkedIn. Bohužiaľ, vplyv tejto zraniteľnosti uvidíme veľmi dlho, zatiaľ čo niektoré staršie softvéry nemusia byť v týchto dňoch udržiavané alebo tlačiť aktualizácie.
Otázka: Čo musia dotknuté strany urobiť, aby udržali svoje systémy v bezpečí?
Odpoveď: Úprimne povedané, jednotlivci by mali zostať informovaní o softvéri a aplikáciách, ktoré používajú, a dokonca by si mali na Google jednoducho vyhľadať „[názov-názov-softvéru] log4j“ a skontrolovať, či daný predajca alebo poskytovateľ zdieľal nejaké upozornenia týkajúce sa tohto nového hrozba.
Táto zraniteľnosť otriasa celým internetom a bezpečnostným prostredím. Ľudia by si mali stiahnuť najnovšie aktualizácie zabezpečenia od svojich poskytovateľov tak rýchlo, ako sú dostupné, a zostať ostražití pri aplikáciách, ktoré stále čakajú na aktualizáciu. A samozrejme, bezpečnosť sa stále scvrkáva na holé základy, na ktoré nemôžete zabudnúť: prevádzkujte spoľahlivý antivírus, používajte dlhé a zložité heslá (dôrazne odporúčame správcu digitálnych hesiel!) a buďte si obzvlášť vedomí toho, čo je uvedené v pred vami na počítači.
Odporúčané našimi redaktormi
Ako to, čo čítaš? Bude sa vám páčiť, keď vám bude každý týždeň doručený do vašej schránky. Prihláste sa na odber bulletinu SecurityWatch.
Policajti + sprostredkovatelia údajov = právne medzery
Zločinci v starých filmoch vždy vedeli, ako obísť správnu aj nesprávnu stranu zákona. Ak sa im policajt vyhrážal, že im vyrazí dvere, len sa uškrnú a povedia: „Áno? Vráťte sa so zatykačom."
V dnešnej realite sa polícia nemusí obťažovať získaním príkazu na vaše údaje, ak môže kúpiť informácie od sprostredkovateľa údajov. Nie sme tí, ktorí by romantizovali porušovanie zákonov, ale nepáči sa nám ani možné zneužitie moci.
Ako píše Rob Pegoraro z PCMag, sprostredkovatelia údajov poskytujú orgánom činným v trestnom konaní a spravodajským agentúram spôsoby, ako obísť štvrtý dodatok tým, že umožňujú predaj informácií zozbieraných o súkromných občanoch. FBI podpísala zmluvu s sprostredkovateľom údajov na „predvyšetrovacie aktivity“ v jednom príklade.
Vďaka spletitým zásadám ochrany osobných údajov aplikácií a zmluvným podmienkam sprostredkovateľa údajov priemerný americký občan pravdepodobne nevie, ako sa údaje o polohe jeho telefónu dostanú do databázy orgánov činných v trestnom konaní. Vadí ti to? Ak áno, je čas vziať veci do vlastných rúk a zastaviť zber údajov pri zdroji. Použite funkcie ochrany osobných údajov polohy, ktoré ponúkajú spoločnosti Apple a Google, aby bola vaša poloha utajená apps. iOS umožňuje používateľom zabrániť akejkoľvek aplikácii poznať ich polohu a Android 12 od Googlu pridáva podobné ovládacie prvky.
Čo sa ešte tento týždeň deje vo svete bezpečnosti?
Ako Čo čítaš?
Zaregistrujte sa Bezpečnostná hliadka newsletter pre naše najlepšie príbehy o ochrane súkromia a bezpečnosti doručené priamo do vašej doručenej pošty.
Tento newsletter môže obsahovať reklamu, ponuky alebo pridružené odkazy. Prihlásením sa na odber noviniek vyjadrujete svoj súhlas s našim Podmienky používania a Ochrana osobných údajov. Z odberu noviniek sa môžete kedykoľvek odhlásiť.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba