Log4Shell haavoittuvuudesta, Selvitys AWS:n viime viikon käyttökatkosta ja Intian pääministerin twitter-tilin kaappauksesta.
Lisäksi Chris Dixon ja seitsämän eri NFT:tä
Huomenta! ☕
Muistutus siitä että tämä on Transistorin viimeinen viikko ennen joulutauolle jäämistä. Uutiskirje palaa maanantaina 3. tammikuuta.
Transistori on arkipäivisin ilmestyvä, teknologiauutisiin ja internet-kulttuuriin keskittyvä, uutiskirje. Voit ryhtyä Transistorin tilaajaksi kirjoittamalla sähköpostiosoitteesi alle ja painamalla osoitekentän vieressä olevaa Subscribe-nappia!
Uutiset 🗞️
Log4Shell: Iso haavoittuvaisuus kirjauspaketissa
Java-ekosysteemissä suositussa avoimeen lähdekoodiin perustuvassa kirjaus -eli loggingkirjastosta on löytynyt merkittävä haavoittuvaisuus, joka on koskettanut sovelluksia kuten Minecraft, Steam ja iCloud. Haavoittuvuus on nimetty Log4Shelliksi ja kirjasto johon se vaikuttaa on nimeltään log4j. Se mahdollistaa ilmeisesti mielivaltaisen koodin suorittamista etäältä. The Vergeltä:
Security teams at companies large and small are scrambling to patch a previously unknown vulnerability called Log4Shell, which has the potential to let hackers compromise millions of devices across the internet.
If exploited, the vulnerability allows remote code execution on vulnerable servers, giving an attacker the ability to import malware that would completely compromise machines.
The vulnerability is found in log4j, an open-source logging library used by apps and services across the internet. Logging is a process where applications keep a running list of activities they have performed which can later be reviewed in case of error. Nearly every network security system runs some kind of logging process, which gives popular libraries like log4j an enormous reach.
…
“This is a very serious vulnerability because of the widespread use of Java and this package log4j,” Cloudflare CTO John Graham-Cumming told The Verge. “There’s a tremendous amount of Java software connected to the internet and in back-end systems. When I look back over the last 10 years, there are only two other exploits I can think of with a similar severity: Heartbleed, which allowed you to get information from servers that should have been secure, and Shellshock, which allowed you to run code on a remote machine.”
Teknisemmän selostuksen itse haavoittuvuudesta löytää kyberturvallisuusyhtiö Lunasecin verkkosivuilta. Todettakoon vielä, että tätä kirjoittaessa mm. Minecraft on julkaissut päivityksen jonka pitäisi paikata Log4Shell haavoittuvuus. Tapahtunut aiheutti myös keskustelua avoimenlähdekoodin projektien kontribuoijista ja heidän työn arvostuksesta.
AWS käyttökatko johtui verkkoviasta
Amazon on julkaissut blogissaan yhteenvedon viime viikon käyttökatkosta. Yhtiön mukaan käyttökatko johtui verkkoviasta, joka tapahtui AWS:n sisäisessä verkossa, missä pyörii mm. AWS:n monitorointipalvelut, sisäinen DNS ja autorointi palvelut. Amazonin blogista:
To explain this event, we need to share a little about the internals of the AWS network. While the majority of AWS services and all customer applications run within the main AWS network, AWS makes use of an internal network to host foundational services including monitoring, internal DNS, authorization services, and parts of the EC2 control plane.
…
At 7:30 AM PST, an automated activity to scale capacity of one of the AWS services hosted in the main AWS network triggered an unexpected behavior from a large number of clients inside the internal network. This resulted in a large surge of connection activity that overwhelmed the networking devices between the internal network and the main AWS network, resulting in delays for communication between these networks. These delays increased latency and errors for services communicating between these networks, resulting in even more connection attempts and retries. This led to persistent congestion and performance issues on the devices connecting the two networks.
Intian pääministerin twitter-tili kaapattiin
Mainitaan vielä, että Intian pääministerin Narendra Modin twitter-tili oli hetkellisesti kaapattu. Kaappauksen aikana tili twiittasi, että Intia olisi antanut bitcoinille virallisen valuutan aseman. Twiitissä oli myös linkki epäilyttävälle verkkosivulle. TechCrunchilta:
The Twitter account of India’s Prime Minister Narendra Modi was “briefly compromised” on Sunday, his office said.
Modi’s account — whose handle is @narendramodi — tweeted after the midnight that India had officially adopted bitcoin as a legal tender, prompting suspicions about a hack because of the timing of the announcement and also as New Delhi in recent months has suggested that it will be introducing a strict law to regulate cryptocurrency. Late last month, country’s Finance Minister Nirmala Sitharaman said New Delhi had no proposal to recognize bitcoin as a currency in the country.
The Sunday tweet, which has since been deleted, included a link to a sketchy website and said New Delhi had purchased some bitcoins and was planning to distribute them among the nation’s residents.
Suosittelut 🕵️
Chris Dixon ja seitsämän eri NFT:tä
Kryptosijoittaja Chris Dixon julkaisi taas twitter-langan, tällä kertaa aiheena oli eri tyyppiset NFT:t ja miten niitä käytetään.
Dixon on innoissaan seitsämästä eri tyyppisestä NFT-sovelluksesta:
NFT:t taiteena.
NFT:t musiikkina.
NFT:t pääsynä sisältöön tai ryhmiin.
NFT:t pelien sisällä.
NFT:t fyysisten asioiden lunastamisessa.
NFT:t identiteettinä.
NFT:t web2 tietokantoina.
Epäselvin konsepti itselleni on tuo viimeisin:
Edelleen itsestäni jännittävin NFT-sovellus on tuo pelien sisäisten esineiden muuntaminen kryptotokeneiksi. Varsinkin jos esineitä voisi käyttää eri pelien välillä.
Nopeet 🚀
lol.
Epic ja Warner Brothers julkaisivat The Matrix -demon.
(Maksumuuri) Alibaba antoi potkut työntekijälle joka syytti pomoaan seksuaalisesta häirinnästä.
Excelin MM-kisojen finaali (kyllä, excel on esport).
(Maksumuuri) TSMC neuvottelee Saksan kanssa puolijohdetehtaan avaamisesta maahan.
(Maksumuuri) Salesforcen Mulesoft on ongelmissa.
Nyt Draftkingsillä on jonkinlainen NFT-projekti NFL:ään liittyen.
True dat.