Log4j: Conheça como a falha de segurança preocupa especialistas brasileiros.
Por Guilherme Neves*
LOG4J é uma vulnerabilidade classificada como crítica e está deixando os administradores de redes preocupados.
Basicamente, o Log4j é uma falha de segurança que permite ao invasor obter dados confidenciais. Isso pode ocasionar uma exposição pública de informações e em alguns casos afetar financeiramente a companhia.
O alvo explorado é a famosa linguagem de programação Java, criada em 1995 com o principal atrativo de poder ser executada por qualquer tipo de dispositivo. Nos últimos anos ouvimos a frase “o Java vai morrer”, entretanto, a linguagem ainda é vista com bons olhos pela comunidade de programadores.
Agora vamos entender o que é esse tal de log4j e como ele funciona:
Um dos métodos utilizados pelos invasores é a entrada de dados em formulários na web, como por exemplo: quando você acessa o seu e-mail com a senha. A partir desta etapa, o invasor se utiliza de códigos maliciosos para conseguir acesso administrativo, e com esse acesso os dados podem ser extraídos e consequentemente vazados na internet. Esta exploração vai longe e pode causar grandes prejuízos caso não seja rapidamente tratado.
Lembra que o Java foi criado para rodar em qualquer dispositivo? Pois bem, é aí que mora o perigo, pois o sistema de QR code em caixas de supermercado e o sistema de fechadura eletrônica são exemplos de sistemas que utilizam o Java e podem se tornar o foco da invasão.
Um dos serviços que está mais sofrendo com esta falha são os servidores web (Apache), que em grande escala utiliza o serviço do Java.
A comunidade responsável pelo serviço já lançou a correção por meio de um patch de atualização, entretanto muitos servidores ainda estão desatualizados.
Nos últimos dias este tema tornou-se um assunto bastante discutido na internet, mas que não deve ser esquecido, pois é necessário que sejam realizadas as atualizações do sistema operacional e serviços, assim as falhas podem ser afastadas destes ambientes.
A AuditSafe está pronta para ajudá-los.
(*) Guilherme Neves é Consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.
Você pode gostar disso também:-
-
O papel do profissional de Segurança da Informação na sociedade.
-
Como os Frameworks te ajudam a quebrar a inércia na Segurança da Informação.
-
AuditSafe é confirmada como patrocinador no Global Community Forum do PCI Council.
-
Assista agora: Crimes cibernéticos – Como evitar prejuízos para a sua empresa?
-
Continuidade de Negócios: Do seu negócio para a vida
-
[live – 23/08 – 19h] Crimes cibernéticos: como evitar prejuízos?
-
O que é e como evitar um spyware?
-
Quais as vantagens de estar em conformidade com o PCI-DSS?
-
Diferença entre hacker e cracker
-
3 pontos de atenção para o período pós-adequação da LGPD