Njia Muhimu za Kuchukua
- Maelfu ya seva na huduma za mtandaoni bado zinakabiliwa na hatari, na uwezekano wa kuathiriwa wa loj4j, tafuta watafiti.
- Ingawa vitisho vya msingi ni seva zenyewe, seva zilizofichuliwa zinaweza pia kuwaweka watumiaji wa mwisho hatarini, pendekeza wataalam wa usalama wa mtandao.
- Kwa bahati mbaya, hakuna watumiaji wengi wanaweza kufanya ili kurekebisha tatizo kando na kufuata mbinu bora za usalama za eneo-kazi.
Uathiriwa hatari wa log4J unakataa kufa, hata miezi kadhaa baada ya kurekebishwa kwa hitilafu inayoweza kutumiwa kwa urahisi.
€ Na kuna machache unayoweza kufanya kuhusu hilo.
"Kwa bahati mbaya, log4j itatutesa sisi watumiaji wa intaneti kwa muda mrefu," Harman Singh, Mkurugenzi wa mtoa huduma wa usalama wa mtandao Cyphere, aliiambia Lifewire kupitia barua pepe. "Kwa vile suala hili linatumiwa kutoka upande wa seva, [watu] hawawezi kufanya mengi ili kuepuka athari za maelewano ya seva."
The Haunting
Hatari hiyo, iliyopewa jina la Log4 Shell, ilielezewa kwa mara ya kwanza mnamo Desemba 2021. Katika muhtasari wa simu wakati huo, mkurugenzi wa wakala wa usalama wa mtandao na miundombinu wa Merika (CISA), Jen Easterly, alielezea hatari hiyo kama "mojawapo ya hatari zaidi. mbaya ambayo nimeona katika kazi yangu yote, ikiwa sio mbaya zaidi."
Katika kubadilishana barua pepe na Lifewire, Pete Hay, Kiongozi wa Mafunzo katika upimaji wa usalama wa mtandao na kampuni ya mafunzo ya SimSpace, alisema upeo wa tatizo unaweza kupimwa kutokana na mkusanyo wa huduma hatarishi na maombi kutoka kwa wachuuzi maarufu kama vile Apple, Steam., Twitter, Amazon, LinkedIn, Tesla, na wengine kadhaa. Haishangazi, jumuiya ya usalama wa mtandao ilijibu kwa nguvu zote, huku Apache akiweka kiraka mara moja.
Wakishiriki matokeo yao, watafiti wa Rezilion walitarajia kwamba seva nyingi, kama si zote, zilizo katika mazingira magumu zingebanwa, kutokana na wingi wa utangazaji wa vyombo vya habari kuzunguka hitilafu hiyo. "Tulikosea," wanaandika watafiti walioshangaa. "Kwa bahati mbaya, mambo ni mbali na bora, na programu nyingi zinazoathiriwa na Log4 Shell bado zipo porini."
Watafiti walipata hali hatarishi kwa kutumia mtambo wa kutafuta wa Shodan Internet of Things (IoT) na wanaamini kuwa matokeo ni kidokezo tu. Sehemu halisi ya uvamizi hatarishi ni kubwa zaidi.
Uko Hatarini?
Licha ya eneo kubwa la uvamizi lililofichuliwa, Hay aliamini kuwa kuna habari njema kwa mtumiaji wa kawaida wa nyumbani. "Nyingi za udhaifu huu wa [Log4J] upo kwenye seva za programu na kwa hivyo hakuna uwezekano mkubwa wa kuathiri kompyuta yako ya nyumbani," Hay alisema.
€ Seva iliyoathiriwa inaweza kufichua taarifa zote ambazo mtoa huduma anazo kuhusu mtumiaji wake.
"Hakuna njia ambayo mtu binafsi anaweza kuwa na uhakika kwamba seva za programu anazotumia kuwasiliana nazo haziwezi kushambuliwa," alionya Marsal. "Mwonekano haupo."
Kwa bahati mbaya, mambo si mazuri, na programu nyingi zinazoathiriwa na Log4 Shell bado zipo porini.
Kwa maoni chanya, Singh alidokeza kuwa baadhi ya wachuuzi wamefanya iwe rahisi kwa watumiaji wa nyumbani kushughulikia athari hiyo. Kwa mfano, akionyesha ilani rasmi ya Minecraft, alisema kuwa watu wanaocheza toleo la Java la mchezo wanahitaji tu kufunga matukio yote yanayoendeshwa ya mchezo na kuanzisha upya kizindua cha Minecraft, ambacho kitapakua toleo lililotiwa viraka kiotomatiki.
Mchakato ni mgumu zaidi na unahusika ikiwa huna uhakika ni programu gani za Java unazotumia kwenye kompyuta yako. Hay alipendekeza utafute faili zilizo na viendelezi vya.jar,.ear, au.war. Hata hivyo, aliongeza uwepo wa faili hizi pekee haitoshi kubainisha ikiwa zimekabiliwa na athari ya log4j.
Alipendekeza watu watumie hati zilizowekwa na Taasisi ya Uhandisi wa Programu ya Chuo Kikuu cha Carnegie Mellon (CMU) (SEI) Timu ya Utayari wa Dharura ya Kompyuta (CERT) ili kuvinjari kompyuta zao kwa athari hiyo. Walakini, maandishi hayana picha, na kuzitumia kunahitaji kwenda chini kwenye safu ya amri.
Mambo yote yanayozingatiwa, Marsal iliamini kuwa katika ulimwengu wa kisasa uliounganishwa, ni juu ya kila mtu kutumia juhudi zake zote ili kubaki salama. Singh alikubali na kuwashauri watu kufuata mazoea ya kimsingi ya usalama ya eneo-kazi ili kusalia juu ya shughuli zozote hasidi zinazoendelezwa kwa kutumia udhaifu huo.
"[Watu] wanaweza kuhakikisha kuwa mifumo na vifaa vyao vimesasishwa na ulinzi wa sehemu za mwisho umewekwa," alipendekeza Singh. "Hii ingewasaidia na arifa zozote za ulaghai na uzuiaji dhidi ya matokeo yoyote kutoka kwa unyonyaji wa porini."