Black Hat’ta teknoloji, Ukrayna savaşı, Log4j ve Web3’ün siber sonuçlarıyla yüzleşiyor



Teknolojinin istenmeyen sonuçları var ve bu gerçek, bu yıl olaylar ilerledikçe güvenlik dünyasının odak noktası haline geliyor.

haber vardı Siyah Şapka 2022 bu hafta siber güvenlik konferansı açık bir standart oluşturmak kurumsal verileri, yenilikçi yeni güvenlik araçlarını ve beyanname eski hükümet siber güvenlik başkanı tarafından, işlerin muhtemelen daha da kötüleşeceğini söyledi.

Yine de Las Vegas’taki yıllık toplantıdaki tartışmaların çoğu, teknolojinin nasıl istenmeyen sonuçlara yol açabileceğine dair üç örnek etrafında dönüyordu: Ukrayna’daki siber savaş, Log4j kayıt aracı güvenlik açığından kaynaklanan devam eden sorunlar ve Web3’teki güvenlik tehditleriyle ilgili artan endişeler. Black Hat’in 25. yıl dönümünde, sorunlar 1997’nin kaygısız günlerinden çok daha önemli hale geldi. ilk DVD oynatıcılar bir çıkış yaptı.

Black Hat’in kurucusu “Güvenlikteki diğer her şey gibi bunu da yol boyunca çözdük” Jeff Moss 25 yıllık siber güvenliği hatırlatan konferans açılış konuşmasında söyledi. “Artık odada neler olup bittiğini, teknolojinin istenmeyen sonuçlarının neler olduğunu açıklamaya çalışan çok daha fazla kişiye ihtiyacımız var.”

Siber savaşa dikkat

Rus saldırganlar tarafından kullanılan araçlar, gelecekteki ulus-devlet ve suç-yeraltı tehditlerinin bir ön izlemesini oluşturduğundan, güvenlik topluluğu Ukrayna’da siber silahların kullanımını yakından izliyor.

ESET’ten güvenlik araştırmacıları, Black Hat katılımcılarına Çarşamba günü Ukrayna’ya yönelik siber saldırılarla ilgili bir güncelleme sağladı. Onlar katıldı Victor Zhorakonferans oturumunda sürpriz bir görünüm yapan Ukrayna’daki Devlet Özel İletişim ve Bilgi Koruma Hizmetinde baş dijital dönüşüm görevlisi.

Ukrayna ihtilafı, teknoloji güdümlü saldırıların kamu hizmeti altyapısı ile birlikte devlet ve iletişim hizmetlerini çökertmek için nasıl kullanılabileceğini gösterdi. Zhora, ülkesindeki siber olay sayısının bu yıl üç katına çıktığını ve Rusya’nın bugüne kadarki en büyük silahı olan Industroyer2’yi dağıtmadan önce Ukrayna ağlarına bir dizi kötü amaçlı yazılım temizleme saldırısı başlatma modeli sergilediğini kaydetti.

Industroyer2 kötü amaçlı yazılımının, güçlü, tam otomatik bir yazılımın en son yinelemesi olduğuna inanılıyor. saldırı 2016 yılında ülkenin bazı bölgelerinde elektriği kesen Ukrayna elektrik şebekesine karşı. Bununla birlikte, Zhora’ya göre, Rusya, Nisan ayında Industroyer2 saldırısını, birçok elektrik santrali iş istasyonunun kapatıldığı bir Cuma öğleden sonra saat 18:00’de başlayacak şekilde açıklanamaz bir şekilde önceden yapılandırdı. ESET ve Microsoft Corp.’un yardımıyla Ukrayna, Industroyer2 saldırısını engellemeyi başardı.

Zhora, “Bu, daha sonra keşfettiğimiz birçok araçla birlikte, iyi planlanmış ve teknik olarak karmaşık bir operasyondu” dedi. Bu, sivil altyapıya yönelik bir saldırı eylemiydi” dedi.

Belki daha endişe verici bir şekilde, güvenlik araştırmacıları başka bir kötü amaçlı yazılım aracını ortaya çıkardı – CaddySilecek – Rusya tarafından Industroyer2 için operasyonel bir lider olarak kullanıldı. Bu kötü amaçlı yazılım sileceği, SentinelOne Inc.’den güvenlik araştırmacıları tarafından Çarşamba günü yapılan başka bir Black Hat oturumunda sunulan Rus saldırılarının analizine dayanarak, saldırganların Industroyer2’nin neden olduğu hasarlardan önemli verilerin ve dosyaların silinmesi yoluyla kurtarılmasını engellemesine olanak tanır.

“Unutmayın, bu buzdağının görünen kısmı” dedi. Juan Andres Guerrero-Saade, SentinelOne’da baş tehdit araştırmacısı. “Sizi temin ederim ki, yüzeyin altında farkında bile olmadığımız çok daha fazla aktivite var.”

Log4j sorunları devam ediyor

Kuruluşlar Apache Log4j aracındaki güvenlik açıklarını ele almaya devam ettikçe, Tech’in istenmeyen sonuçları bu yıl da açık kaynak topluluğunda bir sorun haline geldi.

Log4j, birçok yazılım paketinde kullanılan popüler bir Java tabanlı günlük kaydı yardımcı programıdır. Geçen yıl bir güvenlik açığı ilk keşfedildiğinde, 10 üzerinden 10 atanmış Ulusal Güvenlik Açığı Veritabanı tarafından.

Log4j’nin ifşa edilmesinden kısa bir süre sonra Microsoft, siber suçlu saldırganları görmeye başladı sondalama sistemleri Log4j kusurları için. Açık kaynak aracının oluşturduğu tehdit, federal hükümetin üst sınırlarına kadar alarm zillerini yükseltti. Beyaz Saray tarafından yetkilendirilmiş Siber Güvenlik İnceleme Kurulu değiştirilen planlar önce SolarWinds ihlaline odaklanmak ve bunun yerine Log4j’yi incelemek.

Temmuz ayında güvenlik açığıyla ilgili raporunu yayınlayan CSRB başkanı, Çarşamba günü Black Hat’te göründü ve açık bir mesaj verdi: Log4j kusurunun neden olduğu sorunlar düzeltilmeye yakın değil.

“Log4j bitmedi” dedi Robert Silvers, İç Güvenlik Bakanlığı’nda politikadan sorumlu sekreter yardımcısı. “Bu bir ‘geriye bakın ve şimdi ortadayız’ değildi. Kuruluşların Log4j sorunlarıyla en az on yıl ve belki de daha uzun süre uğraşması muhtemeldir.”

Sorunun bir kısmı, düzeltmelerin hızla uygulanabilmesi için Log4j’nin tam olarak nereye kurulduğu konusunda bilgi eksikliğidir. Siber Güvenlik ve Altyapı Güvenliği Ajansı, iyileştirmeyi desteklemek amacıyla GitHub’da çeşitli listeler derledi. “Etkilenen Satıcı ve Yazılım” katalog.

Birkaç siber güvenlik firması, Log4j için düzeltmeler uygulamak için çalışıyor. Black Hat’in başlangıcında, CyCognito Inc. bildiri düzeltmeler uygulayan ankete katılan firmaların %70’inin hala savunmasız varlıkları yamalamak ve Log4j ile ilgili yeni örnekleri önlemek için mücadele ettiğini tespit etti.

Log4j, teknoloji topluluğu içinde yaygın olarak kullanılmaktadır ve bir CyCognito yöneticisine göre yazılım mühendisleri bunu birden fazla amaç için dağıtabilir. “Görünürlük ve risk algılama sürecini bin kat daha zorlaştırıyor” Rob GurzeevCyCognito’nun kurucu ortağı ve CEO’su, SiliconANGLE ile özel bir röportajda söyledi. “Gördüğümüz Log4j güvenlik açıklarının çoğu, bu şirketler tarafından hiçbir zaman gerektiği gibi test edilmeyen varlıklar üzerinde.”

Çin’in Log4j sayısında oynadığı rol ilginç bir alt konu sunuyor. Kusur şuydu: ilk rapor edilen Alibaba Cloud organizasyonundaki bir güvenlik mühendisinin Log4j’deki güvenlik açığını keşfettiği Kasım ayı sonlarında Apache Software Foundation’a.

CSRB’nin, katılmayı kabul eden Çin hükümetinin temsilcileriyle yapılan görüşmeleri içeren raporu, Çin’in Aralık ayında kamuya açık hale gelmeden önce güvenlik açığından yararlanmaya çalıştığına dair kanıt bulamadı. Ancak kurul, Çin hükümetinin konuyla ilgili yorum yapmayacağını da kaydetti. raporlar Alibaba, kusuru önce Apache Vakfı’na açıkladığı için cezalandırıldı ve Çin’in gelecekte kusurlardan yararlanma potansiyeli konusundaki endişelerini dile getirdi.

Silvers, Black Hat görünümü sırasında “Güvenlik açığı ortaya çıkmadan önce istismar kanıtı bulamadık” dedi. “Çin’in uyguladığı düzenleyici rejim, güvenlik açığı açıklamasını çevreliyor. Kurul, bunun Çin’e çok ciddi güvenlik açıklarına erken erişim sağlayabileceğine dair endişelerini dile getirdi.”

Web3 savunmasız olduğunu kanıtlıyor

Web3, teknoloji ekosisteminde çekiş kazanmaya başladıkça, blok zinciri, kripto para birimleri ve akıllı sözleşmeler gibi ortaya çıkan dijital finansal araçların sonuçları, tam kamuoyu önünde geliştiriliyor ve güvenlik üzerinde bir etki yaratmaya başlıyor. Gerçek şu ki, çoğu blockchain ve kripto para projesi düşük güvenlik vadesive bu alarm zillerini yükseltmeye başlıyor yatırım akıyor ve kullanım vakaları büyür.

“İnsanlar kripto para birimleri ve NFT’leri toplarsa, insanların onları topladıklarını bilmesini isterler, bu yüzden kendi hedefleri haline gelirler.” Nathan HamielKudelski Security’nin kıdemli araştırma direktörü, Perşembe günü bir Black Hat sunumu sırasında söyledi. “Halka açık ve keşfedilmemiş bir saldırı yüzeyi olan yüksek değerli hedeflerimiz var. Bu şeylerden yararlanma zamanı inanılmaz derecede hızlı ve gördüklerimize alışık değiliz.”

Güvenlik araştırmacılarının gördüğü, hızla artan ve yüz milyonlarca doların çalınmasına neden olan bir dizi saldırıdır. Bugüne kadarki en önemlilerinden biri, bir Ronin Ağının ihlaliMart ayında bilgisayar korsanlarına en az 620 milyon dolar kazandıran “Axie Infinity” blok zinciri oyununun sağlayıcısı.

Bir rapora göre, Ronin Ağındaki doğrulayıcı düğümleri görünüşte tehlikeye atıldı. Beyan Sağlayıcı Sky Mavis tarafından yayınlandı. Hamiel ayrıca, bilgisayar korsanlarının dijital olarak oluşturulmuş bir flash kredi kullanarak onlara süper çoğunluk gücü vermek için protokol yönetimini manipüle ettiği Beanstalk gibi hack’ler de buldu.

Web3 dünyası, merkezi olmayan özerk organizasyonların veya DAO’lar ve topluluk mülkiyeti. Yine de bu, tehdit aktörlerinin sömürmekten çok mutlu oldukları bir güvenlik açığı olduğunu kanıtlıyor.

Hamiel, “Adem-i merkeziyetçilik bir özellik ve aynı zamanda bir dezavantajdır, hiç kimse sorunların sahibi değildir” dedi. “Bir DAO ile taktik sorunları çözemezsiniz, bir yazılım parçasını yamalamak topluluğa bağlı olmamalıdır. Henüz tüm güvenlik sorunlarını bile bulamadık.”

Fotoğraf: Mark Albertson/SiliconANGLE

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.


Kaynak : https://siliconangle.com/2022/08/12/black-hat-tech-confronts-cyber-consequences-ukraine-war-log4j-web3/

Yorum yapın