Читај ми!

Хакери упропастили новогодишње празнике програмерима, а можда и нама

Озбиљан пропуст откривен у софтверу који се масовно користи практично откључава све наше податке сајбер криминалцима. Многи софтвер инжењери провешће предстојеће празнике поправљајући га јер би потенцијална штета за компаније и кориснике широм света могла да буде несагледива. Најгоре од свега је колико је упад на сервер једноставан.

Ради се о изузетно опасном безбедносном пропусту у једном делу кода који је јавно доступан свим јава програмерима. Тај део кода тј. "класа" под именом "Log4j" је написан са циљем да се прати рад софтвера.

Испоставило се да хакери лако могу да преузму контолу над целим сервером уколико је на њему инсталиран софтвер који користи "Log4j" класу за евиденцију активности, а таквих софтвера има заиста много.

Све што хакер треба да уради је да подигне сервер који ће бити јавно доступан на интернету, да на њега инсталира злонамерни софтвер тј. вирус и припреми га за даље ширење, те да потом састави текст са адресом до вируса.

Хакер онда налази начин да текст са том адресом вируса забележи на серверу који жели да нападне.

Питате се како? - Врло лако, многи сајтови праве евиденцију шта су посетиоци тог сајта претраживали, што значи да је довољно да хакер уђе на сајт који је подложан овој врсти напада и да у поље за обичну претрагу, што сви користимо, уместо неких кључних речи унесе текст са адресом до вируса.

Оног момента када класа "Log4j" евидентира ту претрагу, сервер је практично заражен јер та адреса није само уписана у евиденцију корисничких претрага, него је "Log4j" класа посетила ту адресу, преузела вирус и потом га покренула на истом серверу на ком је и сајт.

Управо у томе и јесте највећи проблем. Многи програмери нису знали да "Log4j" има ту безбедносну ману.

То практично значи да хакери за само неколико минута могу да извуку приватне податке милиона корисника са тог сервера укључујући и њихове податке о платним картицама ако је интернет продавница у питању.

А колико је лако ово извршити говори чињеница да су деца користила ову врсту напада да би себи обезбедила додатке у игрицама које би иначе морала да се плате. Сад замислите исто то само са правом робом.

Програмери су се радо одлучивали баш за "Log4j" класу, јер је бесплатна за коришћење и редистрибуцију, што смањује трошкове саме израде софтвера.

Управо ту класу су користиле многе светске компаније у својим софтверима чиме су нарушиле сопствену безбедност.

Испоставило се да су овој врсти напада подложни и поједини производи највећих светских компација као што су "Циско", "Мајкрософт", "Амазон" и многи други.

Америчка агенција за високотехнолошки криминал објавила је детаљна упутства шта програмери треба да ураде да би заштитили сервер од ове врсте напада. Неки су то већ применили, али многи још нису.

Сад је питање ко је бржи. Програмери који раде на заштити софтвера или хакери који већ неколико дана користе ову методу за улазак у разне системе широм света.

 

Број коментара 5

Пошаљи коментар

Упутство

Коментари који садрже вређање, непристојан говор, непроверене оптужбе, расну и националну мржњу као и нетолеранцију било какве врсте неће бити објављени. Говор мржње је забрањен на овом порталу. Коментари се морају односити на тему чланка. Предност ће имати коментари граматички и правописно исправно написани. Коментаре писане великим словима нећемо објављивати. Задржавамо право избора и краћења коментара који ће бити објављени. Коментаре који се односе на уређивачку политику можете послати на адресу webdesk@rts.rs. Поља обележена звездицом обавезно попуните.

недеља, 22. децембар 2024.
6° C

Коментари

Bravo
Шта је све (не)дозвољено да се једе када имате повишен холестерол
Krusevac
Преминуо новинар Драган Бабић
Omiljeni režiser
Луис Буњуел – редитељ који нам је показао да ово није најбољи од свих могућих светова
Posle toliko vremena..
Репер Диди најбогатији међу славнима, Ђоковић на 68. месту
Zdravlje
Редовно коришћење аспирина узрокује хиљаде смрти годишње