Ang Kritikal na Apache Log4j Exploit na ipinakita sa Minecraft

Ang nakaraang katapusan ng linggo ay isang masamang oras upang maging isang administrator ng server. Isang kritikal na kahinaan ang lumitaw sa Apache Log4j. Ang malaking problema? May pagkakataon ang mga attacker na samantalahin ang open-source na Java package na ginagamit ng lahat ng uri ng application, mula Twitter hanggang iCloud, para magsagawa ng anumang code na pipiliin ng attacker.

Parang nakakatakot yun.

Ano ang Kahulugan ng Apache Log4j Exploit para sa Iyo at Akin

Nakipag-usap ako sa cybersecurity researcher na si John Hammond mula sa Huntress Labs tungkol sa pagsasamantala at sa kasunod na pag-aagawan upang mabawasan ang pinsala. Nilikha muli ni Hammond ang pagsasamantala sa isang server ng Minecraft para sa kanyang channel sa YouTube, at ang mga resulta ay sumasabog.

tiririt

Q: Ano ang pagsasamantalang ito? Maaari mo bang ipaliwanag kung ano ang nangyayari sa mga tuntunin ng karaniwang tao?

A: Ang pagsasamantalang ito ay nagpapahintulot sa mga masasamang aktor na makakuha ng kontrol sa isang computer na may isang linya ng text. Sa mga termino ng karaniwang tao, ang isang log file ay kumukuha ng isang bagong entry ngunit nagkataon na nagbabasa at aktwal na nagpapatupad ng data sa loob ng log file. Sa partikular na ginawang input, ang isang biktimang computer ay lalapit at kumonekta sa isang hiwalay na nakakahamak na device upang i-download at isagawa ang anumang mga karumal-dumal na aksyon na inihanda ng kalaban.

Q: Gaano kahirap na gayahin ang pagsasamantalang ito sa Minecraft?

A: Ang kahinaan at pagsasamantalang ito ay maliit na i-set up, na ginagawa itong isang napaka-kaakit-akit na opsyon para sa masasamang aktor. naipakita ko na isang video walkthrough na nagpapakita kung paano ito muling ginawa sa Minecraft, at ang "pananaw ng mananalakay" ay maaaring tumagal ng 10 minuto upang ma-set up kung alam nila kung ano ang kanilang ginagawa at kung ano ang kailangan nila.

Q: Sino ang apektado nito?

A: Sa huli, lahat ay apektado nito sa anumang paraan o iba pa. Mayroong napakataas na pagkakataon, halos tiyak, na ang bawat tao ay nakikipag-ugnayan sa ilang software o teknolohiya na may ganitong kahinaan na nakatago sa isang lugar. 

Nakita namin ang katibayan ng kahinaan sa mga bagay tulad ng Amazon, Tesla, Steam, kahit Twitter at LinkedIn. Sa kasamaang palad, makikita natin ang epekto ng kahinaang ito sa napakatagal na panahon, habang ang ilang legacy na software ay maaaring hindi mapanatili o mag-push ng mga update sa mga araw na ito.

T: Ano ang kailangang gawin ng mga apektadong partido para mapanatiling ligtas ang kanilang mga system?

A: Sa totoo lang, dapat manatiling nakakaalam ang mga indibidwal sa software at mga application na ginagamit nila, at kahit na gumawa ng isang simpleng paghahanap sa Google para sa "[that-software-name] log4j" at tingnan kung ang vendor o provider na iyon ay nagbahagi ng anumang mga advisory para sa mga notification tungkol sa bagong pagbabanta. 

Ang kahinaang ito ay nanginginig sa buong Internet at tanawin ng seguridad. Dapat i-download ng mga tao ang pinakabagong mga update sa seguridad mula sa kanilang mga provider sa lalong madaling panahon na magagamit ang mga ito at manatiling mapagbantay sa mga application na naghihintay pa rin ng update. At siyempre, ang seguridad ay namumuo pa rin sa mga pangunahing kaalaman na hindi mo makakalimutan: magpatakbo ng isang solidong antivirus, gumamit ng mahaba, kumplikadong mga password (ang isang digital na tagapamahala ng password ay lubos na inirerekomenda!), at maging lalo na ng kamalayan sa kung ano ang ipinakita sa harap mo sa iyong computer.

Tulad ng binabasa mo? Magugustuhan mo itong inihatid sa iyong inbox linggu-linggo. Mag-sign up para sa SecurityWatch newsletter.

Mga Pulis + Mga Broker ng Data = Mga Legal na Loopholes

Palaging alam ng mga kriminal sa mga lumang pelikula ang kanilang paraan sa parehong tama at maling panig ng batas. Kung ang isang pulis ay nagbanta na pabagsakin ang kanilang pinto, mapapangiti lang sila at sasabihing, “Oh yeah? Bumalik ka na may dalang warrant."

Sa realidad ngayon, hindi na kailangang mag-abala ng pulisya sa pagkuha ng warrant para sa iyong data kung mabibili nila ang impormasyon mula sa isang data broker. Ngayon, hindi tayo ang dapat magromansa ng paglabag sa batas, ngunit hindi rin natin gusto ang mga posibleng pang-aabuso sa kapangyarihan.

Tulad ng isinulat ni Rob Pegoraro ng PCMag, ang mga data broker ay nagbibigay ng mga tagapagpatupad ng batas at mga ahensya ng paniktik ng mga paraan upang makalusot sa Ika-apat na Susog sa pamamagitan ng pagpapahintulot sa pagbebenta ng impormasyong nakolekta tungkol sa mga pribadong mamamayan. Ang FBI ay pumirma ng kontrata sa isang data broker para sa “pre-investigative activities” sa isang halimbawa.

Salamat sa mga patakaran sa privacy ng app at mga tuntunin at kundisyon ng data broker, malamang na hindi alam ng karaniwang mamamayang Amerikano kung paano napupunta ang data ng lokasyon ng kanilang telepono sa isang database ng pagpapatupad ng batas. Nakakaabala ba ito sayo? Kung gayon, oras na para tanggapin ang mga bagay sa iyong sariling mga kamay at itigil ang pangongolekta ng data sa pinagmulan. Gamitin ang mga feature sa privacy ng lokasyon na inaalok ng Apple at Google para panatilihing lihim ang iyong lokasyon mula sa iyo apps. Hinahayaan ng iOS ang mga user na pigilan ang anumang app na malaman ang kanilang lokasyon, at ang Android 12 ng Google ay nagdaragdag ng mga katulad na kontrol.

Ano Pa ang Nangyayari sa Mundo ng Seguridad Ngayong Linggo?