Što je Log4j exploit i što možete učiniti da ostanete sigurni?

Log4j exploit, koji neki nazivaju Log4Shell ili CVE-2021-44228 (Otvara se u novom prozoru), bio je u vijestima posljednjih nekoliko tjedana. To je loše! Ima ga posvuda! Ali što je to točno? Kako se probio u milijune poslužitelja? I kako se možete zaštititi od posljedica ove sigurnosne rupe?

Índice
  1. To nisu podaci - to je kod!
  2. Java i otvoreni kod
  3. Zašto je posvuda?
  4. Tko je ovdje žrtva?
    1. Preporuka naših urednika
  5. Što mogu učiniti?

To nisu podaci - to je kod!

Srž problema s Log4j je zbrka između jednostavnih podataka i izvršnih naredbi. Zlonamjerni koderi koriste ovu vrstu zabune praktički zauvijek.

U doba računalnih virusa temeljenih na DOS-u, diskovni programi jednostavno su se kopirali ravno u memoriju i pokretali. Rani virusi dodani su kao blok podataka na kraju glavnog programa. Podešavanjem bajta ili dva na početku programa, natjerali su DOS da izvrši kod virusa prije pokretanja programa. I virus se pridružio više programa tijekom svog kratkog trajanja.

PCMag logotip Iznenađujuće je lako biti sigurniji na internetu

Windows programi, zvani Portable Executable (PE) programi, mnogo su sofisticiraniji. Različiti blokovi informacija učitavaju se u odgovarajuće memorijsko područje i ti se blokovi označavaju kao kod ili podaci. Unatoč tome, napadači su uspjeli prisilno izvršiti ono što su trebali biti podaci. Moderne verzije sustava Windows koriste Data Execution Prevention (DEP) i Address Space Layout Randomization (ASLR) za sprječavanje takvih napada.

Java i otvoreni kod

Log4j je napisan u Javi, što znači da u biti nema zaštita poput DEP-a i ASLR-a. S druge strane, to je paket otvorenog koda. To znači da svatko (dobro, svatko s vještinama kodiranja) može pročitati izvorni kod, uočiti sve greške i pridonijeti poboljšanju paketa.

Teorija je da je kod otvorenog izvornog koda sigurniji jer su ga pregledali mnogi skupovi očiju i jer ne postoji mogućnost da se backdoor ili neka druga neželjena značajka sakriju u kodu. Kada je u pitanju vrlo osjetljiva knjižnica, koja možda uključuje enkripciju, ona je doista predmet ozbiljnog ispitivanja. Ali očito ovaj jednostavni modul za vođenje dnevnika nije dobio dovoljno pažnje.

Zašto je posvuda?

Kada postoji sigurnosna rupa u operativnom sustavu ili popularnom pregledniku, to obično utječe samo na korisnike tog operativnog sustava ili preglednika. Izdavač radi na novoj verziji koja krpa rupu, izbacuje ažuriranje i sve je u redu.

Log4j je drugačiji. To nije operativni sustav, preglednik, pa čak ni program. Umjesto toga, to je ono što koderi nazivaju knjižnicom, ili paketom, ili kodnim modulom. Služi jednoj svrsi - vođenju evidencije o tome što se događa na poslužitelju.

Ljudi koji pišu kod žele se usredotočiti na ono što njihov program čini jedinstvenim. Oni ne žele ponovno izumiti kotač. Stoga se oslanjaju na beskrajne biblioteke postojećeg koda, kao što je Log4j. Modul log4j dolazi od Apachea, koji je najčešće korišteni softver web poslužitelja. I zato je na milijunima poslužitelja.

Tko je ovdje žrtva?

Ovdje je važna točka. Napadi koji koriste ranjivost u Log4j nisu usmjereni na vas. Haker koji ga prisili da zabilježi redak teksta koji postaje naredba ima za cilj instalirati zlonamjerni softver na poslužitelj. Microsoft izvješćuje da ga hakeri koje sponzorira država koriste, vjerojatno za promicanje ransomwarea. Pogođene su Apple, Cloudflare, Twitter, Valve i druge velike tvrtke.

Možda ste vidjeli (ili pogledali) YouTube video gdje je sigurnosni istraživač demonstrirao preuzimanje Minecraft servera koristeći samo chat unutar igre. To ne znači da je utjecalo na igrače uključene u chat. To znači da je istraživač prisilio poslužitelj na pokretanje proizvoljnog koda.

Preporuka naših urednika

Ali nemojte se još opustiti. Haker koji može pokrenuti proizvoljan kod na pogođenom poslužitelju ima neograničene mogućnosti. Naravno, ransomware napad na vlasnika poslužitelja mogao bi biti prilično unosan, kao i kooptiranje poslužitelja za rudarenje bitcoina. Ali također je moguće da bi haker mogao uništiti poslužitelj, navodeći ga da isporuči zlonamjerni softver posjetiteljima web stranica koje se nalaze na tom poslužitelju.

Što mogu učiniti?

Log4j exploit samo je jedan od mnogih sigurnosnih rupa koje iskorištavaju loši akteri. CISA-in katalog iskorištenih ranjivosti (Otvara se u novom prozoru) navodi 20 pronađenih samo u prosincu. Ako pažljivo pogledate, vidjet ćete da su neki već popravljeni, ali drugi imaju popravak koji nije dospio šest mjeseci ili više. Malo će njih utjecati Log4j exploit, naravno.

Što se tiče Log4j zaštite na strani poslužitelja, to je smiješno jednostavno. Postoji postavka koja kontrolira može li sustav za bilježenje interpretirati podatke kao kod. Isključivanje tog prekidača obavlja posao. Naravno, Apache je objavio ažuriranje modula koda, ali neki istraživači izvješćuju da je jedina značajna promjena u ažuriranju to što je ovaj prekidač isključen prema zadanim postavkama.

Kao što je navedeno, Log4j je kod dizajniran za poslužitelje, a napad iskorištavanjem utječe na poslužitelje. Međutim, na vas može neizravno utjecati ako ga haker upotrijebi da obori poslužitelj koji vam je važan ili pokuša upotrijebiti poslužitelj za preuzimanja ili druge napade zlonamjernog softvera.

Ne možete učiniti ništa da biste izbjegli utjecaj rušenja poslužitelja, ali se možete zaštititi od tih sekundarnih napada tako da instalirate snažan antivirusni program i održavate ga ažurnim. Učinite svoj dio tako što ćete ostati u potrazi za phishing prijevarama, koristeći upravitelj lozinki i usmjeravajući svoj internetski promet kroz virtualnu privatnu mrežu ili VPN. Čuvanje vlastitih podataka, uređaja i veza zaštićenim znači da je malo vjerojatno da ćete biti pogođeni posljedicama napada Log4j exploit.

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa * (obavezno)

Go up