校草合租恋人

研究人员在一个名为Log4J的软件程序中发现了一个安全漏洞。它被私人、商业和政府主机广泛用于记录从用户名和密码到信用卡交易的详细信息。自上周末该漏洞被发现以来，网络安全社区一直在努力保护应用程序、服务、基础设施，甚至是物联网设备，防止罪犯利用该漏洞牟利。

前白宫首席信息官、网络安全咨询公司Fortalice Solutions首席执行官特蕾莎·佩顿(Theresa Payton)表示:“对于网络犯罪分子来说，这是一个提前的圣诞节，因为天空是极限。”“事实上，限制他们的仅仅是他们的想象力、技术诀窍以及他们利用这一缺陷的能力。”《科学美国人》Log4J的特点，罪犯如何利用新发现的弱点，以及需要什么来解决问题。

魏巍

以下是经过编辑的采访记录。

慈航道人什么是Log4J，如何使用它?

技术和网络安全团队的每个人都需要很好的日台式机电脑开不了机志。当发生勒索软件事件时，您需要记录审计跟踪，以便执行取证，也可能出于监管方面的考虑。Such [香蕉面膜的作用Log4J]是Java记录日志的特性。您可以记录某人使用这种特定类型的信用卡的事实，记录某人今天刚刚登录的事实，或捕捉不同类型的事件。

然而，Log4J有一个主要的安全缺陷。

这种类型的漏洞意味着有人可以向日志插入指令，并让日志做它想做的任何事情。研究人员在12月初发现了这种弱点——我总是感谢他们。基本上，攻击者可以使用未经身份验证的远程代码访问服务器。因此，他们可以发送指令，做事情，或做事情完全不被发现。已经有一些攻击者利用Log4J漏洞的例子。他们在一台我不认识的机器上安装了加密货币挖掘恶意软件。如果你还记得物联网被Mirai僵尸网络劫持看起来Mirai僵尸手机app制作 网络也试图利用它。

网络罪犯还能针对这个漏洞做些什么呢?

因为它正在登录，所以您可以插入指令“请在登录凭据时发送到这里”。这就是网络罪犯开始获取登录凭证的地方。您几乎可以创建自己的网络犯罪命令和日志控制。黄豆芽变绿日志可以记录几乎所有内容，包括登录、信用卡信息、支付信息等。这取决于开发人员决定如何使用日志功能:日志中包含的数据类型，以及是否对其进行了加密。问题是，是否有各种各样的日志保护措施?另外，是否有一种监视日志记录的类型，以查看日志记录本身是否行为异常?如果您的组织没有寻找异常行为，那么一旦您的用户ID和密码被记录下来，您就不会注意到它被移到了另一个位置。

车模厂家

网络犯罪分子利用这个漏洞，因为安全团队正在争分秒秒地寻找、修补、修复、观察、记录和修复这些问题。将。网络罪犯倾向于分享和制造不同的攻击。Crimeware很有可能是一种服务，它将提供给非网络罪犯和非技术人员。

对于那些不从事网络安全工作，但将应用和服务作为日常生活一部分的人来说，这意味着什么?

它可能是个人信息被盗的受害者。你可以通过登录来解决这个问题，从你交易的任何数量的公司接收服务，并确认它已经停止服务。有人用这种特殊的弱点威胁他们，可能无法联系政府机构确认退款或纳税。

我们仍然处于理解的早期阶段，所以很难确切地说出它是如何最薄的手机工作的。这可能是一个很长的尾巴，可能是一个长期的问题。这并不是“如果我们在周末修补所有的东西，我们就可以回到圣诞节假期。”

我需要做什么来解决这个问题?

我喜欢用建筑钉作类比，可以用在房屋、建筑物和桥梁上。如果有人说，“我意识到所有这些建筑钉子都很脆弱，随时都可能无法使用。”有不同类型的建筑钉，但你需要知道你在哪里使用它们。这个钉子。现在我们要求建筑公司在钉子坏掉之前找到并更换它们。

有关狗的电影你有一个大公司和一组基础设施，他们现在需要开始寻找[他们系统中Log4J的]事实真相。人们通常不会坐下来制定详细的蓝图。在您的代码中创建一个准女生能自用的东西有哪些确的日志记录特性部署位置的清单，就像在许多不同的大海捞针一样困难。一般来说，如果存在这样的安全漏洞，安全官员可以负责并说，“我拥有它，拥有修复工作。”这是不同的，因为它是一个供应链。许多人使用开源，使用第三方供应商，并使用离岸开发和小部件。[这些软件资源]Log4J可能存在。专注于一种物联网设备的供应链——想想Alexa[或]谷歌Home——可以有10-50 - 60家不同的公司生产不同的零部件，比如固件、操作系统和应用程序开发。试图修复一个产品的缺陷可能是一项艰巨的任务。

我们能从这种脆弱性中学到什么教训?

如果你想到去年这个时候的SolarWindsAnother供应链问题，很多人中国渔村会说，“哦，我们不使用这个产品，所以它可能是好的。”你所学到的是，如果你在一个有太阳风的生态系统中，你就需要做一些修复。无论是内部的、离岸的、近岸的还是外包的开发者，你都需要知道他们是如何创建库存的。我们已经了解了编译软件和质量保证软件构建是多么的困难，这是非常复杂和难以执行的，而且并不总是遵循基本的细节。

我学到的最大教训是，供应链的盔甲出现了扭曲，而且还在继续。这些问题还没有结束。当这些问题发生时，你如何获得一本能够吸引和评估正确玩家的剧本?理解吗?“在这里，人们需要考虑的第二件事是，他们正在建立其他故障保护机制。例如，他们在攻击者应用补丁和攻击者记录之前使用它。如果您正在引导日志中的信息，您能检测到攻击者隐藏的流量吗?这些都是我们所吸取的教训，也都是困难的教训。也就是说，如果它们很容易，企业就会去做。政府会做的。理论上听起来不错，但实际上很难实现。

张世明巢湖旅游景点大全https://www.scientificamerican.com/article/the-log4j-software-flaw-is-christmas-come-early-for-cybercriminals/ Log4J软件的一个缺陷是，对网络罪犯来说，“圣诞节提前到来了”

西安购物