Prejšnji vikend je bil slab čas za skrbnika strežnika. V Apache Log4j se je pojavila kritična ranljivost. Velika težava? Napadalci imajo možnost izkoristiti odprtokodni paket Java, ki ga uporabljajo vse vrste aplikacij, od Twitterja do iClouda, za izvajanje katere koli kode, ki jo izbere napadalec.
To je tako strašljivo, kot se sliši.
Kaj izkoriščanje Apache Log4j pomeni za vas in mene
Pogovarjal sem se z raziskovalcem kibernetske varnosti Johnom Hammondom iz Huntress Labs o izkoriščanju in kasnejših naporih za ublažitev škode. Hammond je poustvaril izkoriščanje na strežniku Minecraft za svoj kanal YouTube in rezultati so bili eksplozivni.
V: Kaj je to izkoriščanje? Lahko laično razložiš, kaj se dogaja?
O: Ta izkoriščanje omogoča slabim akterjem, da pridobijo nadzor nad računalnikom z eno vrstico besedila. Laično povedano, datoteka dnevnika pridobiva nov vnos, vendar se zgodi, da bere in dejansko izvaja podatke v datoteki dnevnika. S posebej izdelanim vnosom bi žrtvi računalnik dosegel in se povezal z ločeno zlonamerno napravo, da bi prenesel in izvedel vsa zlobna dejanja, ki jih je pripravil nasprotnik.
V: Kako težko je bilo ponoviti ta izkoriščanje v Minecraftu?
O: To ranljivost in izkoriščanje je nepomembno nastaviti, zaradi česar je zelo privlačna možnost za slabe igralce. razstavil sem video navodila, ki prikazujejo, kako je bilo to poustvarjeno v Minecraftu, »perspektiva napadalca« pa traja približno 10 minut, da se nastavi, če vedo, kaj delajo in kaj potrebujejo.
V: Koga to prizadene?
O: Navsezadnje to vpliva na vse tako ali drugače. Obstaja izjemno velika verjetnost, skoraj gotovo, da vsaka oseba komunicira z neko programsko opremo ali tehnologijo, ki ima to ranljivost nekje skrito.
Videli smo dokaze o ranljivosti v stvareh, kot so Amazon, Tesla, Steam, celo Twitter in LinkedIn. Na žalost bomo posledice te ranljivosti videli še zelo dolgo, medtem ko nekatere stare programske opreme v teh dneh morda ne bomo vzdrževali ali ne bodo potisnili posodobitev.
V: Kaj morajo prizadete strani storiti, da ohranijo svoje sisteme varne?
O: Iskreno, posamezniki bi morali ostati seznanjeni s programsko opremo in aplikacijami, ki jih uporabljajo, in celo preprosto poiskati v Googlu »[ime-programske opreme] log4j« in preveriti, ali je ta prodajalec ali ponudnik delil kakršna koli priporočila za obvestila v zvezi s tem novim grožnja.
Ta ranljivost pretresa celotno internetno in varnostno okolje. Ljudje bi morali prenesti najnovejše varnostne posodobitve od svojih ponudnikov čim prej, ko so na voljo, in ostati previdni pri aplikacijah, ki še čakajo na posodobitev. In seveda se varnost še vedno spušča na osnovne osnove, ki jih ne morete pozabiti: zaženite soliden protivirusni program, uporabite dolga in zapletena gesla (močno je priporočljiv upravljalnik digitalnih gesel!) in bodite še posebej pozorni na to, kar je predstavljeno v pred vami na vašem računalniku.
Priporočajo naši uredniki
Všeč vam je, kar berete? Všeč vam bo, da bo vsak teden dostavljen v vaš nabiralnik. Prijavite se na glasilo SecurityWatch.
Policisti + posredniki podatkov = pravne vrzeli
Kriminalci v starih filmih so vedno vedeli, kako zaobiti pravo in napačno stran zakona. Če bi policist grozil, da bo vlomil v njihova vrata, bi se le nasmehnil in rekel: »A ja? Vrni se z nalogom."
V današnji realnosti se policiji ni treba truditi pridobiti naloga za vaše podatke, če lahko kupi informacije od posrednika podatkov. Zdaj nismo tisti, ki bi romantizirali kršenje zakona, vendar tudi ne maramo morebitnih zlorab pooblastil.
Kot piše Rob Pegoraro iz PCMaga, posredniki podatkov zagotavljajo organom pregona in obveščevalnim agencijam načine, da zaobidejo četrti amandma, tako da dovoljujejo prodajo zbranih informacij o zasebnikih. V enem primeru je FBI podpisal pogodbo s posrednikom podatkov za "predpreiskovalne dejavnosti".
Zahvaljujoč zapletenim politikam zasebnosti aplikacij in določilom in pogojem posrednika podatkov povprečni ameriški državljan verjetno ne ve, kako podatki o lokaciji njihovega telefona pridejo v bazo podatkov organov pregona. Vas to moti? Če je tako, je čas, da vzamete stvari v svoje roke in ustavite zbiranje podatkov pri viru. Uporabite funkcije zasebnosti lokacije, ki jih ponujata Apple in Google, da vaša lokacija ostane skrivnost apps. iOS uporabnikom omogoča preprečiti, da bi katera koli aplikacija vedela svojo lokacijo, Googlov Android 12 pa dodaja podobne kontrole.
Kaj se ta teden še dogaja v svetu varnosti?
Všeč vam je, kar berete?
Prijavite se na Varnostna ura glasilo za naše vrhunske zgodbe o zasebnosti in varnosti, dostavljeno neposredno v vaš nabiralnik.
To glasilo lahko vsebuje oglaševanje, ponudbe ali partnerske povezave. Če se naročite na novice, se strinjate z našimi Pogoji uporabe in Pravilnik o zasebnosti. Od prejemanja novic se lahko kadar koli odjavite.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba