Mint kiderült, a nemrégiben felfedezett, nagyon súlyos biztonsági rést múlt héten sikerrel használták fel a belga védelmi tárca rendszerének kompromittálására.

A biztonsági szakemberek nem hiába kongatták a vészharangot azt követően, hogy december folyamán nyilvánosságra került egy kritikus hiba, amely az Apache Log4j naplózó eszközének 2.x verzióját érinti. A mostani sérülékenység azért jelent különösen nagy veszélyt, mivel a távoli kódfuttatási sebezhetőség könnyen kihasználható, és ezen keresztül a rendszer teljes irányítását át lehet venni. Az már csak hab a tortán, hogy az eszközt széles körben használják szervezetek, illetve az őket kiszolgáló informatikai szállítók, így a potenciális áldozatok tábora riasztóan nagy.

Hogy mennyire kiritkus a helyzet, arra Belgium szolgáltatott most kínos példát. A NATO-tag védelmi minisztériumának informatikai rendszerét ugyanis pontosan ezzel a sebezhetőséggel sikerült kompromittálnia az egyelőre ismeretlen internetes támadó(k)nak. A hírt megszellőztető flamand nyelvű VRT beszámolója szerint a tárca bizonyos képességeit napokra megbénította a hekkerek akciója.

A pórul járt minisztérium szóvivője az ügy kapcsán leginkább csak annak tényét volt hajlandó elismerni, a hivatalos nyilatkozat ezen túl kevés konkrétumot tartalmaz. A szóvivő szerint a 16-án felfedezett támadást után gyorsan karanténintézkedéseket tettek az érintett részek elkülönítésére, miközben prioritásként kezelték a védelmi hálózat működőképességének fenntartását.

A belga esetnek további pikantériát kölcsönöz az, hogy az ország kormányzati hátterű kiberbiztonsági központja épp tegnap adott ki közleményt, amelyben a vállalatokat figyelmeztetik a Log4j jelentette kockázatokra. Hozzátéve, hogy aki esetleg még nem tette meg a szükséges biztonsági lépéseket, frissítéseket, az azonnal lásson hozzá a munkához. Ellenkező esetben csúnyán járhatnak. Mint például a védelmi minisztérium. (Utóbbit persze már csak mi tettük hozzá.)

A NATO, amelynek európai központja épp Belgiumban van, egyelőre nem nyilatkozott arról, hálózatát érintette-e a minisztérium ellen intézett múlt hét csütörtöki támadás.

Hibát hibára halmoznak

Az sem könnyíti meg az Apache-ban felfedezett kritikus sérülékenységgel kapcsolatos intézkedések végrehajtását, hogy az eredeti hiba felfedezését követően több új problémára is fény derült, a rés befoltozására kiadott első javítócsomagok pedig nem bizonyultak százszázalékosnak. Jelenleg ott tartunk, hogy a Log4j-hez már a harmadik update jelent meg nagyjából másfél hét alatt.

Biztonság

Mélyütést mér az online azonosításra a deepfake

Egy biztonsági vállalat kísérletében 10-ből 9 rendszer elhasalt a szakemberek manipulált felvételekkel végrehajtott tesztjén.
 
Veszélyek garmadája bújik meg a webes alkalmazások és az alkalmazásprogramozási interfészek közötti forgalomban. Ezek kiszűrésére és hatástalanítására szerencsére egyre hatékonyabb eszközökkel rendelkezünk.

a melléklet támogatója a Balasys

A Világgazdasági Fórum figyelmeztetése szerint jelentős szakadék tátong a C-szintű vezetők és az információbiztonságért felelős részlegek helyzetértékelése között.

A járvány üzleti vezetőt csinált a CIO-kból

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.