نقص نرم افزار Log4J این است که "کریسمس زود آمد" برای مجرمان سایبری

محققان به تازگی یک نقص امنیتی در یک برنامه نرم افزاری به نام Log4J کشف کرده اند که به طور گسترده توسط بسیاری از سازمان های خصوصی، تجاری و دولتی برای ثبت جزئیات از نام کاربری و رمز عبور تا تراکنش های کارت اعتباری استفاده می شود. از زمانی که این مشکل در آخر هفته گذشته کشف شد، جامعه امنیت سایبری برای محافظت از برنامه‌ها، خدمات، زیرساخت‌ها و حتی دستگاه‌های اینترنتی در برابر مجرمان - که در حال حاضر از این آسیب‌پذیری سوء استفاده می‌کنند - تلاش کرده است.

ترزا پیتون، افسر ارشد اطلاعات کاخ سفید و مدیر عامل شرکت مشاوره امنیت سایبری Fortalice Solutions، می‌گوید: «برای مجرمان سایبری، کریسمس زود فرا می‌رسد، زیرا آسمان محدود است. آنها واقعاً فقط با تخیل، دانش فنی و توانایی خود برای استفاده از این نقص محدود شده‌اند.» پیتون با او صحبت می کند علمی آمریکایی در مورد اینکه Log4J چه کاری انجام می دهد، چگونه مجرمان می توانند از ضعف تازه کشف شده آن استفاده کنند، و برای رفع مشکل چه چیزی لازم است.

[An edited transcript of the interview follows.]

Log4J چیست و چگونه استفاده می شود؟

و در تیم های فناوری و امنیت سایبری، همه به فایل های لاگ واقعا خوب نیاز دارند. در صورت وقوع یک رویداد باج افزار برای انجام تحقیقات قانونی، گاهی اوقات به دلایل نظارتی، باید برای مسیرهای حسابرسی ثبت نام کنید. و همینطور [Log4J] یک تابع و عملکرد جاوا است که در آن چیزها را ذخیره می کنید. شما می توانید این واقعیت را که شخصی از این نوع کارت اعتباری خاص استفاده کرده است، ثبت کنید، می توانید این واقعیت را ثبت کنید که شخصی به تازگی وارد سیستم شده است، انواع مختلفی از رویدادها را می توان ثبت کرد.

اما Log4J یک نقص امنیتی جدی دارد.

این نوع آسیب‌پذیری به این معنی است که کسی می‌تواند دستورالعمل‌ها را به لاگ‌ها تزریق کند و آنها را وادار کند هر کاری که می‌خواهند انجام دهند. محققان این آسیب پذیری را کشف کردند - و من همیشه می گویم، خدا را شکر برای محققان - در اوایل دسامبر. در اصل، به مهاجم این امکان را می دهد که دسترسی از راه دور تایید نشده با کد به سرورها داشته باشد. به این ترتیب، آنها می توانند دستورالعمل ها را ارسال کنند، کارها را انجام دهند و به طور بالقوه کاملاً مورد توجه قرار نگیرند. در حال حاضر نمونه هایی از زمانی که مهاجمان از آسیب پذیری Log4J سوء استفاده کرده اند وجود دارد. آنها نرم افزارهای مخربی را برای کشف ارزهای دیجیتال در ماشین های ناشناس نصب کرده اند. اگر به یاد داشته باشیم که اینترنت اشیا توسط بات نت Mirai تسخیر شده است، به نظر می رسد بات نت Mirai نیز سعی در استفاده از آن دارد.

مجرمان سایبری چه کارهای دیگری می توانند با این آسیب پذیری انجام دهند؟

همانطور که ثبت می شود، به طور بالقوه می توانید دستورالعملی را تزریق کنید که می گوید: "هنگامی که به اطلاعات کاربری یک کاربر وارد می شوید، آنها را به اینجا نیز ارسال کنید." تقریباً می توانید تیم جرایم سایبری خود را ایجاد کنید و سیاهه های مربوط را کنترل کنید. ثبت کنندگان می توانند تقریباً هر چیزی را ثبت کنند، مانند جزئیات ورود، اطلاعات کارت اعتباری، اطلاعات پرداخت. این فقط به این بستگی دارد که توسعه دهنده چگونه تصمیم گرفته است از این ویژگی و عملکرد برای ثبت استفاده کند: چه نوع داده هایی در این رجیستری وجود دارد و آیا رمزگذاری شده است یا خیر. سوال این است که آیا اقدامات احتیاطی مختلفی در مورد قطع وجود دارد؟ و آیا نظارتی در اطراف ثبت نام وجود دارد که آیا خود ثبت نام رفتار غیرعادی دارد یا خیر؟ اگر سازمانی به دنبال رفتار غیرعادی نباشد، متوجه نخواهد شد که پس از ثبت شناسه کاربری و رمز عبور، به سادگی به جای دیگری رفته است.

از طرف تیم امنیتی - همانطور که همه ما برای یافتن، رفع، اصلاح، نظارت، ثبت و تلاش برای اصلاح این مشکلات با زمان رقابت می کنیم - مجرمان سایبری از این آسیب پذیری استفاده خواهند کرد. مجرمان سایبری تمایل دارند حملات مختلفی را به اشتراک بگذارند و ایجاد کنند. به احتمال زیاد نرم افزار مجرمانه به عنوان یک سرویس وجود خواهد داشت که در اختیار مجرمان سایبری و افراد غیر فنی قرار می گیرد تا از آن بهره ببرند.

این برای افرادی که در امنیت سایبری کار نمی کنند اما از برنامه ها و خدمات به عنوان بخشی از زندگی روزمره خود استفاده می کنند چه معنایی دارد؟

به طور بالقوه می توانید متوجه شوید که قربانی سرقت هویت هستید. شما به طور بالقوه می توانید وارد شوید - برای دریافت خدمات از هر تعداد شرکتی که با آنها تجارت می کنید - و متوجه شوید که آنها وقفه دارند و می توانند مشکل را حل کنند. ممکن است سعی کنید با یک سازمان دولتی تماس بگیرید تا بازپرداخت یا پرداخت مالیات را تأیید کنید، اما ممکن است این کار را نکنید زیرا شخصی آنها را از طریق این آسیب پذیری خاص به خطر انداخته است.

به سادگی نمی توان گفت که دقیقاً چگونه این پیشرفت خواهد کرد، زیرا ما هنوز در اولین روزهای درک واقعی هستیم. این پتانسیل دارد که یک صف بسیار طولانی برای مدت طولانی مشکل ساز شود. "این آخر هفته همه چیز را درست کنید و بعد همه به تعطیلات کریسمس برگردیم" نیست.

برای رفع این مشکل چه باید کرد؟

من دوست دارم از قیاس ناخن ساختمانی استفاده کنم، [which] قابل استفاده در خانه، ساختمان، پل. و اگر کسی مجبور شد بگوید، "ما به تازگی متوجه شدیم که همه این میخ های ساختمانی آسیب پذیر هستند و می توانند در هر زمان غیرقابل استفاده شوند." انواع مختلفی از میخ های ساختمانی وجود دارد، اما شما باید ببینید کجا از آنها استفاده کرده اید. این ناخن - میخ. و اکنون از شرکت‌های ساختمانی می‌خواهیم که میخ‌ها را قبل از شکست پیدا کرده و جایگزین کنند.

شما شرکت‌های بزرگ و مجموعه‌ای از زیرساخت‌ها دارید که اکنون باید برای اثبات حقایق به این شکار بروید [for Log4J in their systems]. خیلی وقت ها مردم نمی نشینند و برنامه ریزی دقیقی نمی کنند. داشتن موجودی دقیق از جایی که این ویژگی ثبت نام در کد شما مستقر شده است، تعداد زیادی پین در انبارهای کاه مختلف است. معمولاً وقتی آسیب‌پذیری امنیتی مانند این داریم، افسر امنیتی می‌تواند مسئولیت را بر عهده بگیرد و بگوید: "من مالک این هستم و تلاش برای حذف را انجام خواهم داد." این متفاوت است زیرا زنجیره تامین است. : بسیاری از مردم از منبع باز استفاده می کنند. از فروشندگان شخص ثالث استفاده کنید، از توسعه ها و ویجت های دریایی و همه موارد استفاده کنید [these software sources] ممکن است Log4J وجود داشته باشد. زنجیره تامین فقط برای یک دستگاه اینترنت اشیا - الکسا را ​​در نظر بگیرید [or] Google Home - ممکن است 10 تا 50 تا 60 شرکت مختلف وجود داشته باشند که قطعات و اجزای مختلف را تولید می کنند: سیستم عامل، سیستم عامل و توسعه برنامه. فقط تلاش برای رفع این مشکل برای یک محصول می تواند کار فوق العاده سنگینی باشد.

از این آسیب پذیری چه درس هایی می توانیم بگیریم؟

اگر به SolarWinds فکر می کنید، که یکی دیگر از مشکلات زنجیره تامین سال گذشته بود، بسیاری از مردم گفتند: "اوه، ما از این محصول استفاده نمی کنیم، بنابراین احتمالاً خوب هستیم." و چیزی که شما آموخته اید این است که اگر شما در اکوسیستمی هستید که SolarWinds دارد، باید اصلاح کنید. شما باید از توسعه دهندگان داخلی، فراساحلی، فراساحلی و برون سپاری خود دریابید که چگونه موجودی را انجام می دهند. ما به سختی آموخته ایم که کامپایل نرم افزار و اطمینان از کیفیت تالیف نرم افزار بسیار پیچیده و سخت برای پیاده سازی است و همیشه از کوچکترین جزئیات پیروی نمی کند.

درس بزرگ این است که ما شکاف هایی در زره در زنجیره تامین داریم و به آنها ادامه خواهیم داد. این آخرین مورد از این مشکلات نخواهد بود. چگونه مطمئن شوید که یک کتاب درسی دارید که در آن هنگام بروز این مشکلات، بتوانید بازیکنان مناسب را برای کسب رتبه جمع آوری کنید: "آیا این واقعا بد است یا یک همبرگر پیش پا افتاده برای سازمان ما است و ما خوب خواهیم شد؟" مردم باید به این موضوع فکر کنند که در اینجا چه دستگاه‌های محافظت از شکست دیگری ساخته‌اید. به عنوان مثال، اگر مهاجمی قبل از اینکه بتوانید تصحیح کنید از مزیت استفاده کند - و اطلاعات ثبت نام و فایل لاگ شما را تصرف کند - آیا می‌توانید بفهمید؟ و آنها درس های سختی هستند. منظورم این است که اگر انجام آنها آسان بود، تجارت آنها را انجام می داد؛ دولت ها آنها را انجام می دادند. روی کاغذ عالی به نظر می رسد، اما در عمل به کار بردن آن واقعاً سخت است.

https://20khababr.ir https://afkharebartar.ir https://akhabarebartar.ir https://andnews.ir https://avatefepak.ir https://baranmajale.ir https://behtaringam.ir https://daltek.ir https://elmitarin.ir https://fardayeashena.ir https://forbos.ir https://foxirani.ir https://gisoon.ir https://hodhodirani.ir https://iranisard.ir https://kahkashani.ir https://lasttimes.ir https://lilaki.ir https://livejame.ir https://magirani.ir https://majaleiranian.ir https://mervina.ir https://mineralnews.ir https://modirezard.ir https://momon.ir https://moniseh.ir https://nationaliran.ir https://netcrafti.ir https://news-single.ir https://newsexpress.ir https://newslife.ir https://newsspot.ir https://newsteen.ir https://nikmag.ir https://officemag.ir https://okaziyon.ir https://one-news.ir https://pandamag.ir https://parsroids.ir https://patris-fun.ir https://senatornews.ir https://seratmag.ir https://sibala.ir https://sohanian.ir https://sosokan.ir https://tazekhabari.ir https://technoirani.ir https://timesirani.ir https://yamorani.ir https://yandexkhabari.ir https://abdoosnews.ir https://zehnenoandinsh.ir https://abestanews.ir https://abtinnews.ir https://akhbarebartaaar.ir https://akhbaremaaaa.ir https://akhbareshomaaa.ir https://akhshijnews.ir https://atrinnews.ir https://atroticnews.ir https://atshnews.ir https://bashariatemrooz.ir https://dastesalamatt.ir https://dostemansalam.ir https://elementorsite.ir https://emrooztafahom.ir https://ensanedirooooooz.ir https://etelaresankhabar.ir https://examplenews.ir https://fardaalefba.ir https://gisooyekhabar.ir https://halohekayatha.ir https://hashtadonoh.ir https://hekayatfardayeemaaa.ir https://honarmandkhabar.ir https://istgaheshomareyek.ir https://ketabkhoooon.ir https://kimyagaaaar.ir https://markazeakhbar.ir https://masternewss.ir https://mohamadrezasite.ir https://morvarideasia.ir https://mramins.ir https://naserinews.ir https://nasermr.ir https://newsamins.ir https://newsatropat.ir https://newscenterals.ir https://newsmineral.ir https://newsouls.ir https://newspishgamannn.ir https://newssalam.ir https://newsshans.ir https://newsworlds.ir https://parinews.ir https://patris-music.ir https://poshtibannews.ir https://powernewss.ir https://recordejadid.ir https://salamnewws.ir https://23ncfst.ir/ https://amiran-carpet.ir/ https://armanenergytec.ir/ https://blogenews.ir/ https://blogkhoon.ir/ https://bvfars.ir/ https://charsounews.ir/ https://chsnews.ir/ https://dezfil.ir/ https://dmwebmaster.ir/ https://dota2news.ir/ https://erfanhd.ir/ https://etminan110.ir/ https://faratarazkhabar.ir/ https://farsgardi20.ir/ https://footynews.ir/ https://goto98.ir/ https://ilyarkhabar.ir/ https://ir2khabar.ir/ https://iranalmanac.ir/ https://irandaryafest.ir/ https://khabarehaft.ir/ https://khabarontime.ir/ https://lolsms.ir/ https://maadgig.ir/ https://masoudtb.ir/ https://mp3news.ir/ https://music-ha.ir/ https://nakhlestankhabar.ir/ https://newcharge.ir/ https://news-links.ir/ https://news180.ir/ https://pimn.ir/ https://prmf.ir/ https://pvnews.ir/ https://rejawnews.ir/ https://sahab-co.ir/ https://samanbarg.ir/ https://semanews.ir/ https://shirinonews.ir/ https://soheilesonghor.ir/ https://tacity.ir/ https://taktanews.ir/ https://tarabaranmag.ir/ https://telegram-persian.ir/ https://tfcenter.ir/ https://trika.ir/ https://velninews.ir/ https://vidnaz.ir/ https://wajnews.ir/ https://your-news.ir/ https://zangannews.ir/ https://2016downloadnew.ir/ https://paxsolomusic.ir/ https://daryamedia.ir/ https://andikakhabar.ir/ https://seo-pbn.ir/ https://ghezelwich.ir https://panaztebtabriz.ir https://shayna-net.ir https://kanooneslamshahr.ir https://raynuts.ir https://honare2.ir https://itsama.ir https://flingpet.ir https://foreverpro.ir https://fraeesi.ir https://gkhabar.ir https://18amlak.ir https://pooyesh-khabar.ir https://matsef.ir https://photo-land.ir https://tabarestan118.ir https://disachain.ir https://chikaapp.ir https://mahestan18.ir https://radyaabkala.ir https://c-civil.ir https://saeeed.ir https://copytops.ir https://modirsearch.ir https://shz1music.ir https://m-khosravi.ir https://iranhayashi.ir https://iranian-dress.ir https://gigblog.ir https://basitcg.ir https://mashhadhekmat.ir https://rahetamin.ir https://radolyamani.ir https://bnemati.ir https://face-wood.ir https://tourvare.ir https://centertasisat.ir https://bidarirafsanjan.ir https://namahaa.ir https://30pp.ir https://script-tabadol-link.ir https://simayesarbedar.ir https://pakdashtiha.ir https://rentacars.ir https://2019movies.ir https://ekar24.ir https://saber-ramezani.ir https://teb-saharsina.ir