Transistori

Share this post

Log4Shell haavoittuvuudesta, Selvitys AWS:n viime viikon käyttökatkosta ja Intian pääministerin twitter-tilin kaappauksesta.

www.transistori.com

Log4Shell haavoittuvuudesta, Selvitys AWS:n viime viikon käyttökatkosta ja Intian pääministerin twitter-tilin kaappauksesta.

Lisäksi Chris Dixon ja seitsämän eri NFT:tä

robert@three.consulting
Dec 13, 2021
Share this post

Log4Shell haavoittuvuudesta, Selvitys AWS:n viime viikon käyttökatkosta ja Intian pääministerin twitter-tilin kaappauksesta.

www.transistori.com
Etienne Girardet / Unsplash

Huomenta! ☕

Muistutus siitä että tämä on Transistorin viimeinen viikko ennen joulutauolle jäämistä. Uutiskirje palaa maanantaina 3. tammikuuta.

Transistori on arkipäivisin ilmestyvä, teknologiauutisiin ja internet-kulttuuriin keskittyvä, uutiskirje. Voit ryhtyä Transistorin tilaajaksi kirjoittamalla sähköpostiosoitteesi alle ja painamalla osoitekentän vieressä olevaa Subscribe-nappia!

Uutiset 🗞️

Log4Shell: Iso haavoittuvaisuus kirjauspaketissa

Java-ekosysteemissä suositussa avoimeen lähdekoodiin perustuvassa kirjaus -eli loggingkirjastosta on löytynyt merkittävä haavoittuvaisuus, joka on koskettanut sovelluksia kuten Minecraft, Steam ja iCloud. Haavoittuvuus on nimetty Log4Shelliksi ja kirjasto johon se vaikuttaa on nimeltään log4j. Se mahdollistaa ilmeisesti mielivaltaisen koodin suorittamista etäältä. The Vergeltä:

Security teams at companies large and small are scrambling to patch a previously unknown vulnerability called Log4Shell, which has the potential to let hackers compromise millions of devices across the internet.

If exploited, the vulnerability allows remote code execution on vulnerable servers, giving an attacker the ability to import malware that would completely compromise machines.

The vulnerability is found in log4j, an open-source logging library used by apps and services across the internet. Logging is a process where applications keep a running list of activities they have performed which can later be reviewed in case of error. Nearly every network security system runs some kind of logging process, which gives popular libraries like log4j an enormous reach.

…

“This is a very serious vulnerability because of the widespread use of Java and this package log4j,” Cloudflare CTO John Graham-Cumming told The Verge. “There’s a tremendous amount of Java software connected to the internet and in back-end systems. When I look back over the last 10 years, there are only two other exploits I can think of with a similar severity: Heartbleed, which allowed you to get information from servers that should have been secure, and Shellshock, which allowed you to run code on a remote machine.”

Teknisemmän selostuksen itse haavoittuvuudesta löytää kyberturvallisuusyhtiö Lunasecin verkkosivuilta. Todettakoon vielä, että tätä kirjoittaessa mm. Minecraft on julkaissut päivityksen jonka pitäisi paikata Log4Shell haavoittuvuus. Tapahtunut aiheutti myös keskustelua avoimenlähdekoodin projektien kontribuoijista ja heidän työn arvostuksesta.


AWS käyttökatko johtui verkkoviasta

Amazon on julkaissut blogissaan yhteenvedon viime viikon käyttökatkosta. Yhtiön mukaan käyttökatko johtui verkkoviasta, joka tapahtui AWS:n sisäisessä verkossa, missä pyörii mm. AWS:n monitorointipalvelut, sisäinen DNS ja autorointi palvelut. Amazonin blogista:

To explain this event, we need to share a little about the internals of the AWS network. While the majority of AWS services and all customer applications run within the main AWS network, AWS makes use of an internal network to host foundational services including monitoring, internal DNS, authorization services, and parts of the EC2 control plane.

…

At 7:30 AM PST, an automated activity to scale capacity of one of the AWS services hosted in the main AWS network triggered an unexpected behavior from a large number of clients inside the internal network. This resulted in a large surge of connection activity that overwhelmed the networking devices between the internal network and the main AWS network, resulting in delays for communication between these networks. These delays increased latency and errors for services communicating between these networks, resulting in even more connection attempts and retries. This led to persistent congestion and performance issues on the devices connecting the two networks.


Intian pääministerin twitter-tili kaapattiin

Mainitaan vielä, että Intian pääministerin Narendra Modin twitter-tili oli hetkellisesti kaapattu. Kaappauksen aikana tili twiittasi, että Intia olisi antanut bitcoinille virallisen valuutan aseman. Twiitissä oli myös linkki epäilyttävälle verkkosivulle. TechCrunchilta:

The Twitter account of India’s Prime Minister Narendra Modi was “briefly compromised” on Sunday, his office said.

Modi’s account — whose handle is @narendramodi — tweeted after the midnight that India had officially adopted bitcoin as a legal tender, prompting suspicions about a hack because of the timing of the announcement and also as New Delhi in recent months has suggested that it will be introducing a strict law to regulate cryptocurrency. Late last month, country’s Finance Minister Nirmala Sitharaman said New Delhi had no proposal to recognize bitcoin as a currency in the country.

The Sunday tweet, which has since been deleted, included a link to a sketchy website and said New Delhi had purchased some bitcoins and was planning to distribute them among the nation’s residents.


Suosittelut 🕵️

Chris Dixon ja seitsämän eri NFT:tä

Kryptosijoittaja Chris Dixon julkaisi taas twitter-langan, tällä kertaa aiheena oli eri tyyppiset NFT:t ja miten niitä käytetään.

Twitter avatar for @cdixon
Chris Dixon @cdixon
Seven types of NFTs 🧵
6:21 PM ∙ Dec 11, 2021
4,661Likes1,170Retweets

Dixon on innoissaan seitsämästä eri tyyppisestä NFT-sovelluksesta:

  • NFT:t taiteena.

  • NFT:t musiikkina.

  • NFT:t pääsynä sisältöön tai ryhmiin.

  • NFT:t pelien sisällä.

  • NFT:t fyysisten asioiden lunastamisessa.

  • NFT:t identiteettinä.

  • NFT:t web2 tietokantoina.

Epäselvin konsepti itselleni on tuo viimeisin:

Twitter avatar for @cdixon
Chris Dixon @cdixon
■ Web2 databases. Using cryptographic methods and decentralized data stores, you can extend NFTs to anything stored in a centralized web2 database today.
6:21 PM ∙ Dec 11, 2021
143Likes12Retweets
Twitter avatar for @cdixon
Chris Dixon @cdixon
This could be something simple like your viewing preferences or much more advanced things like your entire social graph. This would allow you to switch from one service to another seamlessly – and have full control of your own data, a key part of the web3 vision.
6:21 PM ∙ Dec 11, 2021
160Likes7Retweets

Edelleen itsestäni jännittävin NFT-sovellus on tuo pelien sisäisten esineiden muuntaminen kryptotokeneiksi. Varsinkin jos esineitä voisi käyttää eri pelien välillä.


Nopeet 🚀

  • lol.

  • Epic ja Warner Brothers julkaisivat The Matrix -demon.

  • (Maksumuuri) Alibaba antoi potkut työntekijälle joka syytti pomoaan seksuaalisesta häirinnästä.

  • Excelin MM-kisojen finaali (kyllä, excel on esport).

  • (Maksumuuri) TSMC neuvottelee Saksan kanssa puolijohdetehtaan avaamisesta maahan.

  • (Maksumuuri) Salesforcen Mulesoft on ongelmissa.

  • Nyt Draftkingsillä on jonkinlainen NFT-projekti NFL:ään liittyen.

  • True dat.

Share this post

Log4Shell haavoittuvuudesta, Selvitys AWS:n viime viikon käyttökatkosta ja Intian pääministerin twitter-tilin kaappauksesta.

www.transistori.com
Comments
TopNew

No posts

Ready for more?

© 2023 Robert
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great writing