Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Log4j in programma's

14-12-2021, 22:00 door Anoniem, 3 reacties
Ik heb dit weekend veel gelezen over dit lek en het gaat zoals ik het lees voornamelijk over servers? Maar hoe zit het eigenlijk met programma's die je als particulier op je computer kunt hebben staan? Zoals bijvoorbeeld OpenOffice, daar waren in september ook al Log4j problemen mee als ik me niet vergis.

Maak me best zorgen over want de gemeentes lijken ook te zijn geraakt en je moet er toch niet aan denken dat al je gegevens straks op straat liggen. Maar in hoeverre moet je je als consument zorgen maken?
Reacties (3)
15-12-2021, 09:21 door Anoniem
Door Anoniem: Ik heb dit weekend veel gelezen over dit lek en het gaat zoals ik het lees voornamelijk over servers? Maar hoe zit het eigenlijk met programma's die je als particulier op je computer kunt hebben staan? Zoals bijvoorbeeld OpenOffice, daar waren in september ook al Log4j problemen mee als ik me niet vergis.
Dat klopt, ook client software die niet vanaf internet te bereiken is, kan kwetsbaar zijn. Zie Minecraft als voorbeeld.


Maak me best zorgen over want de gemeentes lijken ook te zijn geraakt en je moet er toch niet aan denken dat al je gegevens straks op straat liggen. Maar in hoeverre moet je je als consument zorgen maken?
Updates installeren, dan is er niks aan de hand.
15-12-2021, 13:00 door Anoniem
Er is altijd wel iets aan de hand alleen weten we het nog niet. Patchen is goed, bewaken is beter.
15-12-2021, 15:15 door Anoniem
Door Anoniem: Ik heb dit weekend veel gelezen over dit lek en het gaat zoals ik het lees voornamelijk over servers? Maar hoe zit het eigenlijk met programma's die je als particulier op je computer kunt hebben staan? Zoals bijvoorbeeld OpenOffice, daar waren in september ook al Log4j problemen mee als ik me niet vergis.

Maak me best zorgen over want de gemeentes lijken ook te zijn geraakt en je moet er toch niet aan denken dat al je gegevens straks op straat liggen. Maar in hoeverre moet je je als consument zorgen maken?
Heel simpel gezegd ernstige zorgen. Dit is een mega hoofdpijn dossier.

Als consument automatische updates aan zetten als dat niet gedaan is of meteen alles updaten.
Daarnaast als je gebruik maakt van een dienst bij een ander bedrijf neem contact met ze op en vraag naar status mitigation CVE-2021-44228

Ik heb het dan niet over de bedrijven als Google etc die kan je terug vinden in de githublijst
Maar stel je hebt een boekhouder dan wil zeker weten dat hij zij niet kwetsbaar ook is.

De meeste schade gaat komen door derden die de boel niet in orde hebben maar wel jouw data bezitten.
Het enige dat je kan doen is het zoveel mogelijk inperken maar de verwachting is dat we straks gigantische lekken geregistreerd gaan zien naast ransomware scenarios.

Meerdere gemeente's zijn absoluut kwetsbaar op dit moment en meerdere zijn daarom uit voorzorg of the grid gegaan (Almere, Hof van Twente als voorbeeld) Ik heb jaren gewerkt als beheerder bij een instantie verwant aan de gemeente en ik kan je vertellen in mijn tijd was de meeste programma troep altijd packaged of geschreven in Java. Als er er nog legacy software draait (en dat zal er zijn) dan zijn ze een zichtbaar doelwit.

Ik hou mijn hart dan ook vast als het gaat om de belastingdienst en rest van het meestal ongeregelde zooitje.

https://werken.belastingdienst.nl/vacatures/software-engineer-java-e1166450

https://www.werkenvoornederland.nl/organisaties/ministerie-van-onderwijs-cultuur-en-wetenschap/dienst-uitvoering-onderwijs/java-is-onmisbaar-bij-duo-en-de-belastingdienst

https://www.jobcatcher.nl/opdrachten/java-ontwikkelaar/belastingdienst---ict/49772

Ook maar even Coron-IT erbij kunnen we ook wel weer een datalek bij gebruiken niet?
https://startvandaag.nl/vacatures/topicus-software-developer-java-bij-coronit


Is het 100% zeker dat hun log4j ergens erin hebben zitten nee maar wel aannemelijk als je developed in Java.
De vraag is nu weten ze zelf waar ze nog overal het ingebouwd hebben en verbonden zit met het internet.
En het antwoord kan je denk ik wel raden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.