Cuối tuần trước là thời điểm tồi tệ để trở thành quản trị viên máy chủ. Một lỗ hổng nghiêm trọng đã xuất hiện trong Apache Log4j. Vấn đề lớn? Những kẻ tấn công có cơ hội khai thác gói Java mã nguồn mở mà tất cả các loại ứng dụng, từ Twitter đến iCloud, sử dụng để thực thi bất kỳ mã nào mà kẻ tấn công chọn.
Điều đó thật đáng sợ như âm thanh của nó.
Khai thác Apache Log4j có ý nghĩa gì đối với bạn và tôi
Tôi đã nói chuyện với nhà nghiên cứu an ninh mạng John Hammond từ Huntress Labs về việc khai thác và nỗ lực sau đó để giảm thiểu thiệt hại. Hammond đã tạo lại cách khai thác trên máy chủ Minecraft cho kênh YouTube của mình và kết quả thật bùng nổ.
Q: Khai thác này là gì? Bạn có thể giải thích điều gì đang xảy ra theo thuật ngữ của cư sĩ không?
A: Cách khai thác này cho phép những kẻ xấu giành quyền kiểm soát máy tính chỉ với một dòng văn bản. Theo thuật ngữ của giáo dân, tệp nhật ký đang truy xuất một mục nhập mới nhưng tình cờ đang đọc và thực sự thực thi dựa trên dữ liệu bên trong tệp nhật ký. Với đầu vào được tạo thủ công đặc biệt, máy tính nạn nhân sẽ tiếp cận và kết nối với một thiết bị độc hại riêng biệt để tải xuống và thực hiện bất kỳ hành động bất chính nào mà kẻ thù đã chuẩn bị.
Q: Khó như thế nào để tái tạo cách khai thác này trong Minecraft?
A: Lỗ hổng và cách khai thác này rất nhỏ để thiết lập, điều này làm cho nó trở thành một lựa chọn rất hấp dẫn cho những kẻ xấu. Tôi đã giới thiệu một video hướng dẫn chứng minh cách này được tạo lại trong Minecraftvà “quan điểm của kẻ tấn công” có thể mất 10 phút để thiết lập nếu họ biết mình đang làm gì và cần gì.
Q: Ai bị ảnh hưởng bởi điều này?
A: Cuối cùng, mọi người đều bị ảnh hưởng bởi điều này theo cách này hay cách khác. Có khả năng rất cao, gần như chắc chắn, rằng mỗi người tương tác với một số phần mềm hoặc công nghệ có lỗ hổng này được giấu ở đâu đó.
Chúng tôi đã thấy bằng chứng về lỗ hổng bảo mật trên những thứ như Amazon, Tesla, Steam, thậm chí cả Twitter và LinkedIn. Thật không may, chúng ta sẽ thấy tác động của lỗ hổng này trong một thời gian rất dài, trong khi một số phần mềm cũ có thể không được bảo trì hoặc đẩy các bản cập nhật trong những ngày này.
H: Các bên bị ảnh hưởng cần làm gì để giữ an toàn cho hệ thống của họ?
Đ: Thành thật mà nói, các cá nhân nên nắm rõ phần mềm và ứng dụng mà họ sử dụng, thậm chí thực hiện một tìm kiếm đơn giản trên Google cho “[that-software-name] log4j” và kiểm tra xem nhà cung cấp hoặc nhà cung cấp đó đã chia sẻ bất kỳ lời khuyên nào cho các thông báo liên quan đến tính năng mới này chưa mối đe dọa.
Lỗ hổng bảo mật này đang làm rung chuyển toàn bộ mạng lưới bảo mật và Internet. Mọi người nên tải xuống các bản cập nhật bảo mật mới nhất từ nhà cung cấp của họ càng nhanh càng tốt và luôn cảnh giác với các ứng dụng vẫn đang chờ cập nhật. Và tất nhiên, bảo mật vẫn bao gồm những điều cơ bản mà bạn không thể quên: chạy chương trình chống vi-rút vững chắc, sử dụng mật khẩu dài và phức tạp (trình quản lý mật khẩu kỹ thuật số được khuyến khích thực hiện!) Và đặc biệt lưu ý những gì được trình bày trong trước mặt bạn trên máy tính của bạn.
Được giới thiệu bởi các biên tập viên của chúng tôi
Thích những gì bạn đang đọc? Bạn sẽ thích nó được gửi đến hộp thư đến của bạn hàng tuần. Đăng ký nhận bản tin SecurityWatch.
Cảnh sát + Người môi giới dữ liệu = Lỗ hổng pháp lý
Tội phạm trong các bộ phim cổ trang luôn biết cách lách cả mặt đúng và mặt trái của luật pháp. Nếu một sĩ quan cảnh sát đe dọa phá cửa phòng của họ, họ sẽ chỉ cười khẩy và nói, “Ồ vậy sao? Hãy trở lại với một trát. ”
Trong thực tế ngày nay, cảnh sát không cần phải bận tâm đến việc nhận trát dữ liệu của bạn nếu họ có thể mua thông tin từ một nhà môi giới dữ liệu. Bây giờ, chúng tôi không phải là những người lãng mạn hóa việc vi phạm pháp luật, nhưng chúng tôi cũng không thích sự lạm dụng quyền lực có thể xảy ra.
Như Rob Pegoraro của PCMag viết, các nhà môi giới dữ liệu cung cấp cho các cơ quan thực thi pháp luật và cơ quan tình báo các cách để thực hiện Tu chính án thứ tư bằng cách cho phép bán thông tin thu thập được về các công dân tư nhân. FBI đã ký hợp đồng với một nhà môi giới dữ liệu cho "các hoạt động trước khi điều tra" trong một ví dụ.
Nhờ các chính sách bảo mật của ứng dụng phức tạp và các điều khoản và điều kiện của nhà môi giới dữ liệu, người dân Mỹ bình thường có thể không biết cách dữ liệu vị trí trên điện thoại của họ được đưa vào cơ sở dữ liệu thực thi pháp luật. Điều đó có làm phiền bạn không? Nếu vậy, đã đến lúc bạn phải tự giải quyết vấn đề và dừng việc thu thập dữ liệu tại nguồn. Sử dụng các tính năng bảo mật vị trí mà Apple và Google cung cấp để giữ bí mật về vị trí của bạn với apps. iOS cho phép người dùng ngăn bất kỳ ứng dụng nào biết vị trí của họ và Android 12 của Google bổ sung các điều khiển tương tự.
Điều gì khác sẽ xảy ra trong thế giới an ninh trong tuần này?
Thích những gì bạn đang đọc?
Đăng ký Giám sát an ninh bản tin cho những câu chuyện về quyền riêng tư và bảo mật hàng đầu của chúng tôi được gửi đến hộp thư đến của bạn.
Bản tin này có thể chứa quảng cáo, giao dịch hoặc liên kết liên kết. Đăng ký nhận bản tin cho thấy bạn đồng ý với Điều khoản sử dụng và Chính sách bảo vệ thông tin cá nhân của người tiêu dùng. Bạn có thể hủy đăng ký nhận bản tin bất cứ lúc nào.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba