Прошли викенд је био лош тренутак да будете администратор сервера. Критична рањивост појавила се у Апацхе Лог4ј. Велики проблем? Нападачи имају прилику да искористе Јава пакет отвореног кода који све врсте апликација, од Твитера до иЦлоуд-а, користе за извршавање било ког кода који нападач одабере.
То је страшно колико год звучало.
Шта експлоатација Апацхе Лог4ј значи за вас и мене
Разговарао сам са истраживачем сајбер безбедности Џоном Хамондом из Хунтресс Лабс-а о експлоатацији и каснијој борби за ублажавање штете. Хамонд је поново направио експлоатацију на Минецрафт серверу за свој ИоуТубе канал, а резултати су били експлозивни.
П: Шта је ово експлоатација? Можете ли лаички да објасните шта се дешава?
О: Овај експлоатација омогућава лошим актерима да стекну контролу над рачунаром помоћу једног реда текста. Лаички речено, датотека евиденције преузима нови унос, али се дешава да чита и заправо извршава податке унутар датотеке евиденције. Са посебно направљеним уносом, рачунар жртве би посегнуо и повезао се са засебним злонамерним уређајем како би преузео и извршио све злобне радње које је противник припремио.
П: Колико је било тешко поновити овај подвиг у Минецрафт-у?
О: Ову рањивост и експлоатацију је тривијално поставити, што је чини веома атрактивном опцијом за лоше глумце. Ја сам изложио видео водич који показује како је ово поново креирано у Минецрафт-у, а „перспективи нападача“ је потребно можда 10 минута да се подесе ако знају шта намеравају и шта им треба.
П: Кога ово погађа?
О: На крају крајева, ово утиче на све на овај или онај начин. Постоји изузетно велика шанса, готово извесна, да свака особа ступи у интеракцију са неким софтвером или технологијом која има ту рањивост негде скривену.
Видели смо доказе о рањивости у стварима као што су Амазон, Тесла, Стеам, чак и Твиттер и ЛинкедИн. Нажалост, видећемо утицај ове рањивости још дуго времена, док неки застарели софтвер можда неће бити одржаван или ће се ажурирати ових дана.
П: Шта погођене стране треба да ураде да би очувале безбедност својих система?
О: Искрено, појединци би требало да буду свесни софтвера и апликација које користе, па чак и да изврше једноставну Гоогле претрагу за „[име-софтвера] лог4ј“ и провере да ли је тај продавац или провајдер делио било какве савете за обавештења у вези са овим новим претња.
Ова рањивост потреса цео интернет и безбедносни пејзаж. Људи би требало да преузму најновија безбедносна ажурирања од својих провајдера чим буду доступна и да буду опрезни у вези са апликацијама које још увек чекају ажурирање. И наравно, безбедност се и даље своди на основне основе које не можете заборавити: покрените солидан антивирус, користите дугачке, сложене лозинке (управитељ дигиталних лозинки се топло препоручује!) и будите посебно свесни онога што је представљено у испред вас на рачунару.
Препоручено од стране наших уредника
Свиђа вам се оно што читате? Свидеће вам се да се испоручује у пријемно сандуче сваке недеље. Пријавите се за СецуритиВатцх билтен.
Полицајци + брокери података = правне рупе
Криминалци у старим филмовима су увек знали како да заобиђу и праву и погрешну страну закона. Ако би полицајац запретио да ће им провалити врата, они би се само насмејали и рекли: „О, да? Врати се са налогом."
У данашњој стварности, полиција не мора да се труди да добије налог за ваше податке ако може да купи информације од посредника у подацима. Е сад, ми нисмо од оних који романтизују кршење закона, али не волимо ни могуће злоупотребе моћи.
Како пише Роб Пегораро из ПЦМага, посредници података обезбеђују органима за спровођење закона и обавештајним агенцијама начине да заобиђу Четврти амандман дозвољавајући продају прикупљених информација о приватним грађанима. ФБИ је потписао уговор са брокером података за „предистражне активности“ у једном примеру.
Захваљујући сложеним политикама приватности апликација и условима и одредбама брокера података, просечан амерички грађанин вероватно не зна како подаци о локацији њиховог телефона доспевају у базу података органа за спровођење закона. Да ли ти то смета? Ако је тако, време је да узмете ствари у своје руке и зауставите прикупљање података на извору. Користите функције приватности локације које нуде Аппле и Гоогле да своју локацију чувате у тајности apps. иОС омогућава корисницима да спречи да било која апликација сазна своју локацију, а Гоогле-ов Андроид 12 додаје сличне контроле.
Шта се још дешава у свету безбедности ове недеље?
Свиђа вам се оно што читате?
Пријавите за Сецурити Ватцх билтен за наше врхунске приче о приватности и безбедности који се достављају директно у ваше пријемно сандуче.
Овај билтен може да садржи оглашавање, понуде или партнерске везе. Претплата на билтен значи да сте сагласни са нашим Услови коришћења Zaštita privatnosti. Можете се одјавити са билтена у било ком тренутку.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba