Förra helgen var en dålig tid att vara serveradministratör. En kritisk sårbarhet uppstod i Apache Log4j. Det stora problemet? Angripare har chansen att utnyttja Java-paketet med öppen källkod som alla typer av applikationer, från Twitter till iCloud, använder för att exekvera vilken kod som helst som en angripare väljer.
Det är lika läskigt som det låter.
Vad Apache Log4j Exploit betyder för dig och mig
Jag pratade med cybersäkerhetsforskaren John Hammond från Huntress Labs om exploateringen och den efterföljande striden för att mildra skadan. Hammond återskapade utnyttjandet på en Minecraft-server för sin YouTube-kanal, och resultaten var explosiva.
F: Vad är detta utnyttjande? Kan du förklara vad som händer i lekmannatermer?
S: Detta utnyttjande tillåter dåliga skådespelare att få kontroll över en dator med en enda textrad. I lekmans termer, en loggfil hämtar en ny post men råkar läsa och faktiskt köra på data inuti loggfilen. Med specifikt utformad inmatning skulle en offerdator nå ut till och ansluta till en separat skadlig enhet för att ladda ner och utföra alla otrevliga handlingar som motståndaren har förberett.
F: Hur svårt var det att replikera detta utnyttjande i Minecraft?
S: Denna sårbarhet och exploatering är trivial att sätta upp, vilket gör det till ett mycket attraktivt alternativ för dåliga skådespelare. Jag har visat upp en videogenomgång som visar hur detta återskapades i Minecraft, och "anfallarens perspektiv" tar kanske 10 minuter att ställa in om de vet vad de håller på med och vad de behöver.
F: Vem påverkas av detta?
S: I slutändan påverkas alla av detta på ett eller annat sätt. Det finns en extremt stor chans, nästan säker, att varje person interagerar med någon programvara eller teknik som har denna sårbarhet undangömd någonstans.
Vi har sett bevis på sårbarheten i saker som Amazon, Tesla, Steam, till och med Twitter och LinkedIn. Tyvärr kommer vi att se effekten av denna sårbarhet under mycket lång tid, medan vissa äldre program kanske inte underhålls eller pushar uppdateringar nu för tiden.
F: Vad behöver berörda parter göra för att hålla sina system säkra?
S: Ärligt talat, individer bör hålla sig medvetna om programvaran och applikationerna de använder, och till och med göra en enkel Google-sökning efter "[det-programvarunamnet] log4j" och kontrollera om den leverantören eller leverantören har delat några råd för meddelanden angående detta nya hot.
Denna sårbarhet skakar om hela internet- och säkerhetslandskapet. Folk bör ladda ner de senaste säkerhetsuppdateringarna från sina leverantörer så snabbt som de är tillgängliga och vara vaksamma på applikationer som fortfarande väntar på en uppdatering. Och självklart handlar säkerheten fortfarande om grunderna som du inte kan glömma: kör ett stabilt antivirusprogram, använd långa, komplexa lösenord (en digital lösenordshanterare rekommenderas starkt!) och var särskilt medveten om vad som presenteras i framför dig på din dator.
Rekommenderas av våra redaktörer
Gillar du det du läser? Du kommer att älska att det levereras till din inkorg varje vecka. Anmäl dig till SecurityWatchs nyhetsbrev.
Polis + Datamäklare = Juridiska kryphål
Brottslingar i gamla filmer kände sig alltid runt både rätt och fel sida av lagen. Om en polis hotade att slå ner deras dörr, skulle de bara le och säga: "Oh ja? Kom tillbaka med en order."
I dagens verklighet behöver polisen inte bry sig om att få ett beslut om dina uppgifter om de kan köpa informationen från en datamäklare. Nu är vi inte de som romantiserar lagbrott, men vi gillar inte heller möjliga maktmissbruk.
Som PCMags Rob Pegoraro skriver, tillhandahåller datamäklare brottsbekämpande och underrättelsemyndigheter sätt att komma runt det fjärde tillägget genom att tillåta försäljning av information som samlats in om privata medborgare. FBI tecknade ett kontrakt med en datamäklare för "förutredande aktiviteter" i ett exempel.
Tack vare invecklade sekretesspolicyer för appar och villkor för datamäklare vet den genomsnittliga amerikanska medborgaren förmodligen inte hur deras telefons platsdata hamnar i en brottsbekämpande databas. Stör det dig? I så fall är det dags att ta saken i egna händer och stoppa datainsamlingen vid källan. Använd platssekretessfunktionerna som Apple och Google erbjuder för att hålla din plats hemlig för dig apps. iOS låter användare hindra alla appar från att veta sin plats, och Googles Android 12 lägger till liknande kontroller.
Vad mer händer i säkerhetsvärlden den här veckan?
Gillar du vad du läser?
Anmäl dig för Säkerhetsklocka nyhetsbrev för våra bästa sekretess- och säkerhetsberättelser levererade direkt till din inkorg.
Detta nyhetsbrev kan innehålla reklam, erbjudanden eller affiliate-länkar. Att prenumerera på ett nyhetsbrev indikerar ditt samtycke till vårt Användarvillkor och Sekretesspolicy. Du kan när som helst avsluta prenumerationen på nyhetsbrev.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba