tag:blogger.com,1999:blog-6843976375835852604.post141472451688265398..comments2024-03-28T20:05:56.432+02:00Comments on Havaintoja digimaailmasta: Esimakua kyberpandemiastaPetteri Järvinenhttp://www.blogger.com/profile/08190899459274223616noreply@blogger.comBlogger33125tag:blogger.com,1999:blog-6843976375835852604.post-82027134418548826852021-12-21T15:27:04.162+02:002021-12-21T15:27:04.162+02:00Näitä CVE- ja muita haavoittuvuuskantoja kun käy l...Näitä CVE- ja muita haavoittuvuuskantoja kun käy läpi, niin jonkin verran on ihan perustason ohjaimia ym, joihin ei ole julkaistu korjaussarjaa. Osa on toki jo vanhentuneita ja käytöstä poistuneita, mutta osan kanssa joutuu elämään tai kiertämään jollain muulla kontrollilla. Kontrollien rakentaminen on vähän osaamis,- tai rahakysymys. Aika moni nettipalvelukin antautuu simppelille sql-injektille kirjautumisruudusta, jos ei ole osattu tai viitsitty rakentaa kontrolleja. Sama koskee pilvipalveluita tai lähinnä niissä olevia virtuaalipalvelimia, jotka vuotavat käyttiksen ja alustan välillä. Apache on näissä muutenkin varsin ongelmallinen ilman tuota logj4:kin. Valveutunut palveluntarjoaja teettääkin kunnon vulerability assessmentin ja tekee siitä lompakolleen sopivan riskiarvion, vähentämistoimet ja jäännösriskin. Keskivertokäyttäjät lienevät jossain määrin turvassa, vaikka noita kotiboksissa olisikin. IP-osoitteet käyvät IPv6 odotellessa vähiin ja kotiboksi on sen seitsemän NATtauksen takana.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-66741487179845267302021-12-20T15:57:17.097+02:002021-12-20T15:57:17.097+02:00Ohjelmoija tahtoo tehdä helposti ja nopeasti koska...Ohjelmoija tahtoo tehdä helposti ja nopeasti koska pitää saada äkkiä valmiiksi ja käyttöön.<br /><br />Ongelma on myös kun firmalla on pitkä historia ja kasvanut "isoksi" niin löytyy järjestelmiä joille ei ole pääkäyttäjää, koska henkilö vaihtanut hommia tai firmaa, eli henkilö joka tuntisi järjestelmän kaikin puolin puuttuu. Puhumattakaan että datalle olisi nimetty omistaja joka tietäisi mitä data on.<br /><br />Mene siinä sitten päivittämään järjestelmää jolle ei päivityksiä enään löydy, saatikka siirtämään eri hostille jolloin lisenssikin lakkaa toimimasta yms. <br /><br />Oliko joku tehnyt asennus dokumentaation ja ylläpito dokumentaation, löytyykö dokumentaatiosta kaikki palomuuri avaukset, korjaukset, riippuvuudet jne.<br /><br />Onhan se mukava tutkia miten kantaa täytyy konvertoida vai täytyykö kun kantamoottori päivittyy 15 versiota.<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-36488247763870527932021-12-20T15:42:44.145+02:002021-12-20T15:42:44.145+02:00Hyvä Petteri että kirjoitit " Log4j haavoittu...Hyvä Petteri että kirjoitit " Log4j haavoittuvuus on MONISSA koneissa" , jossakin kirjoitettiin "suurimmassa osassa" ja "melkein kaikissa" jne.<br /><br />No ei ole LAMP:ssa, ei niissä yleensä mitään javaa tarvi.<br /><br /><br />"Log4j ei vaikuta kotikoneiden nopeuteen." <br /><br />No kyllä vaikuttaa jos log4j2 on käytössä ja hyväksikäyttäjä laittaa mainauksen päälle.<br /><br /><br /><br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-30035021192734904362021-12-16T19:13:13.865+02:002021-12-16T19:13:13.865+02:00"Täsä Githubin listasta saa jonkinlaisen aavi..."Täsä Githubin listasta saa jonkinlaisen aavistuksen ongelman laajuudesta."<br />Laajuudesta en tiedä, kun joukossa oli mm. 7-Zip mikä ei ole haavoittuva. Tulee laajuudesta ihan väärä kuva.<br /><br />Tässä on toinen lista:<br />https://github.com/NCSC-NL/log4shell/tree/main/software<br /><br />Teemuhttps://www.blogger.com/profile/18314957198069651634noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-54596114469700428102021-12-16T19:09:34.473+02:002021-12-16T19:09:34.473+02:00Kirjoittaja on poistanut tämän kommentin.Teemuhttps://www.blogger.com/profile/18314957198069651634noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-28158553188642577932021-12-15T22:39:11.329+02:002021-12-15T22:39:11.329+02:00... jatko
Noilta vanhoilta patruunavetoisilta sav...... jatko<br /><br />Noilta vanhoilta patruunavetoisilta savupiipputeollisuutta edustavilta voisi odottaa halua osallistua jonkin järjestelmän tai palvelun kehittämiseen kun siitä itse myös hyötyvät. Mutta pörssiyhtiöiltä ilman selkeää velvoitetta sellaisten odottaminen omaehtoisesti on usein toiveajattelua. <br /><br />Eivät ne osallistu, ellei a) ole pakko ts. lisenssi velvoittaa tai b) se osataan heille hyvin perustella niin, että sen avulla he saisivat korjattua vikoja ja c) myönteisen PR:n vuoksi. <br /><br />Minulle tuli tätä kirjoittaessa mieleen <a href="https://www.youtube.com/watch?v=-zRN7XLCRhc&t=2035s" rel="nofollow">Byran Cantrill'in esitys Youtubessa</a>, jossa hän tuulettaa sitä miten järkevää on odottaa esimerkiksi Oraclelta mitään myötätuntoa avoimia ohjelmistoja kohtaan, kun se ei osaa nähdä välitöntä hyötyä siitä ja sen päämäärä on tehdä rahaa.<br /><br />Bryan on moottoriturpa, mutta puhuu suurelta osin asiaa. Myötätunnon odottaminen isolta yritykseltä kuten Oraclelta on kun odottaisi myötätuntoa ruohonleikkurilta.<br /><br />Pienemmät yritykset ja yhteistöt eivät tietysti ole aivan noin karusti rahan perässä ohjautuvia, mutta niiden taloudelliset resurssit tukea muita ohjelmistojen kehittäiä eivät tietysti niin hyvät kun olisivat isoilla pörssiyhtiöillä.<br /><br />Kyllä Oraclekin osallistuu ja kehittää joitakin vapaita ohjelmistoja lähinnä talon sisällä kun on välttämätöntä sitä sitovan lisenssin vuoksi tai standardoinin vaatimuksen vuoksi, joista he eivät voi päästä eroon. <br /><br />He ottavat kiitolisuudella vastaan ulkopuolisten panostukset näihin ohjelmistoihin, mutta eivät tietääkseni juuri tue ulkopuolisten kehittäjien työtä tlon ulkopuolella, siitäkään huolimatta että nämä osat joita kehittäjät kehittävät ovat heidän ohjelmistotuotteensa keskeisiä osia kuten tämä Log4J on pitkään ollut.<br /><br />Lisenssiasioista on ollut viime vuosina parran pärinää useampaan kertaan kun pilvipalvelut (AWS, GCP, Azure, jne) sisällyttävät toisten yritysten avoimien ohjelmistoilla tehtyjä palveluita asiakkaille ja siten ryhtyivät kilpailemaan ohjelmiston alkuperäisen kehittäjän omien palveluiden kanssa. Sen vuoksi osa näistä kehittäjistä on vaihtanut uusien ohjelmistoversioiden lisenssin AGPL:ksi tai joksin itse luoduksi lisenssiksi jolla on käytännössä tarkoitus estää muita pilvipalveluja kilpailemasta heidän kanssaan. Esimerkkejä näistä on vaikkapa Elasticsearch, Kibana, MongoDB, REDIS jne. viime vuosilta.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-19571019195776018092021-12-15T22:38:33.584+02:002021-12-15T22:38:33.584+02:00Theo de Raadt on pitkään marmattanut tästä asiasta...Theo de Raadt on pitkään marmattanut tästä asiasta. <br /><br />Vapaaehtoisesti he käyttävät BSD lisenssiä, joka on hyvin liberaali ja sallii kenen tahansa käyttää sillä lisensoitavaa koodia käytännössä lähes mihin hyvänsä kunhan ei poista BSD lisenssiä, eikä väitä olevansa koodin omistaja ja sen alkuperäinen tekijä.<br /><br />GNU lisenssit on pitkälle samanlaisia sillä erotuksella, että lisenssin mukaan on tarjottava muille käyttäjille samat mahdollisuudet saada myös muutetun ohjelmiston lähdekoodi julksieen käyttöön jos muutoksia sisältävää ohjelmistoa on jaettu oman organisaation ulkopuolelle tavalla tai toisella. AGPL sisällyttää velvoitteen myös julkaista omaan käyttöön tehdyn muutetun lähdekoodin, jos sillä tuotetaan palveluja ulkopuolisille.<br /><br />Missään näissä ei ole mitään velvoitetta ryhtyä tukemaan millään tavalla muita ohjelmistojen kehittäjiä. Edes mainintaa vapaaehtoisen tukemisen suotavuudesta ei ole lisensseissä ehdotuksena, jonka voisi tulkita moraalisesti velvoitttavaksi.<br /><br />Theo ja moni muu on aivan oikeassa siinä, että olisihan se tosi reilua ja moraalisesti oikein siitä huolimatta, että tuetaan kun kerran hyödytään toisten tekemästä työstä ja saadaan sitä myötä taloudellista etua. Ilman muuta olisi, ei siitä varmasti erimielisyyttä tule.<br /><br />Moni muukin asia olisi reilua bisneksessä, mutta sitä ei silti tehdä jos siihen ei ole mitään velvoitetta. Ei sellainen tule edes tehokkaan liiketoiminnallisesti ohjautuvien pörssiyhtiöiden mieleen, koska niiden ensisijainen peruste olla olemasa on pyrkiä tuottamaan voittoa omistajien sijoitetulle pääomalle. <br /><br />Niiden liikkeenjohdon odotetaan tekevän parasta mahdollista saavutettavissa olevaa tulosta kultakin kvartaalilta ja sitä myötä kaikki menot, jotka eivät ole voiton tavoittelun näkökulmasta perusteltuja halutaan aina karsia pois.<br /><br />Perinteinen patruunavetoinen savupiipputeollisuus, jota ei juuri valiteettavasti enää ole, toimi aikanaan hieman eri logiikalla. Se pyrki toki hyvään kannattavuuteen, mutta ei millä tahansa keinoin ja jossa oli sijaa hyvin voivalle työyhteisölle josta pidettin huolta. Sille rakennettiin vuokra-asuntoja, tarjottiin usein yleistä sairasvakuutusta parempaa terveyspalveluja omien sairaskassojen avulla. Lapsille oli kesäleireirejä ja työntekijöiden perheille virkistys ja vapaa-ajanvieton kerho- ja harrastustointaa tuettiin. Huoltokonttoreista työntekijöille myönnettiin pankkilainoja edullisempia lainoja. <br /><br />Pienemillä paikkakunnilla nämä yritykset olivat usein suurimpia ja tärkeimpiä työnantajia, ne usein osallistuivat myös kunnan yhteisen infratuktuurin kehittämiseen, joihin kunnan omat rahkeet eivät muuten olisi riittäneet.<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-44132207274114875742021-12-15T16:48:47.968+02:002021-12-15T16:48:47.968+02:00Theo de Raadt of OpenBSD Interview (2006)
"T...<a href="https://www.linux.com/news/interview-theo-de-raadt-openbsd/" rel="nofollow">Theo de Raadt of OpenBSD Interview (2006)</a><br /><br />"TdR: If I add up everything we have ever gotten in exchange for our efforts with OpenSSH, it might amount to $1,000. This all came from individuals. For our work on OpenSSH, companies using OpenSSH have never given us a cent. What about companies that incorporate OpenSSH directly into their products, saving themselves millions of dollars? Companies such as Cisco, Sun, SGI, HP, IBM, Siemens, a raft of medium-sized firewall companies — we have not received a cent. Or from Linux vendors? Not a cent. Of course we did not set out to create OpenSSH for the money — we purposely made it completely free so that the “telnet infrastructure” of the 1980s would die. But it sure is sad that none of these companies return even a fraction of value in kind."<br /><br />Onko tilanne <a href="https://www.theregister.com/2021/12/14/log4j_vulnerability_open_source_funding/" rel="nofollow">yhtään parantunut</a> 15 vuodessa?<br /><br />"The exploitation of open-source software by companies that use freely available works without giving back to the community has been a sore spot among open source project maintainers for years."<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-61965590194596134482021-12-15T16:33:27.544+02:002021-12-15T16:33:27.544+02:00Toivottavasti nyt on poistettu oikeat. Toivottavasti nyt on poistettu oikeat. Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-31023160607150082572021-12-15T16:06:22.644+02:002021-12-15T16:06:22.644+02:00--"Eikö sinun silmään nuo kaksi turhaa toistu...--"Eikö sinun silmään nuo kaksi turhaa toistuvaa kommenttia sen ensimmäisen jonka vapautit lisäksi voisi poistaa?"--<br /><br />Petteri Järvisellä on kirjan deadline. Uskoisin olevan kirjoitustöissä.<br /><br /><a href="https://thedailywtf.com/articles/don-t-lookup-the-log4j-debacle" rel="nofollow">Kattava writeup aiheesta: Don't Lookup -- The Log4j Debacle</a>Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-65234542747535087292021-12-15T15:47:37.410+02:002021-12-15T15:47:37.410+02:00Petteri,
Eikö sinun silmään nuo kaksi turhaa tois...Petteri,<br /><br />Eikö sinun silmään nuo kaksi turhaa toistuvaa kommenttia sen ensimmäisen jonka vapautit lisäksi voisi poistaa?<br /><br />- 14. joulukuuta 2021 klo 21.05<br />- 14. joulukuuta 2021 klo 21.07<br /><br />Nehän ovat vain kopioita ts. yrityksiä postittaa uudestaan sitä ensimmäistä<br /><br />- 14. joulukuuta 2021 klo 21.02<br /><br />Minä ne lähetin useampaan kertaan yrittäessäni. Mitä arvoa niillä tässä keskustelussa?<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-75259926965803090962021-12-15T15:40:48.255+02:002021-12-15T15:40:48.255+02:00Ja tuossa Logj viesti formatoinnissa näytää olevan...<i>Ja tuossa Logj viesti formatoinnissa näytää olevan noin parikymmentä lookup luokkaa ja tuskin tuo jndi on ainut vaarallinen, vaikka onkin helppokäyttöisin hyökkääjälle.</i><br /><br />Jep, ei ole :)<br /><br /><a href="https://nvd.nist.gov/vuln/detail/CVE-2021-45046" rel="nofollow">ks. CVE-2021-45046</a><br /><br /><i>Tuossa lokiviesti formatoinnissa ei ole ymmärretty tietoturvapuolta ollenkaan.</i><br /><br />Ehkäpä liika luottamus siihen, että Java on turvallinen ohjelmointikieli on tuudittanut olemaan seuraamatta miten muissa ympäristöissä näitä on ollut aiemmin.<br /><br />Jos nyt en aivan väärin arvaa, niin tällä hetkellä varmasti käydään suurennuslasilla lävitse muitakin mahdollisia vastaavia ongelmia, koska kun ongelma oli löytymättä näin pitkänä aikaa on mahdollista, että vastaavia koodauksen kukkasia läytyy lisää muualta.<br /><br />Luultavasti myös staattisten koodin turvallisuutta tutkivia softia päivitetään kiireen vilkkaa. Ja ehkäpä myös koulutusta ja konsultointia tekevät päivittävät materiaalia ja saavat aiheen myydä lisää tarpeeseen.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-46188423679752937962021-12-15T14:31:57.926+02:002021-12-15T14:31:57.926+02:00Itsellä kun kuulin aukosta, tuli ihmetys että mite...Itsellä kun kuulin aukosta, tuli ihmetys että miten voi log4j vuotaa noin pahasti.<br />Itse ole käyttänyt ja myös perehtynyt log4j sisäiseen logiikkaan noin 10-15 vuotta sitten.<br />Mutta nyt kun olen katsonut mistä on kyse niin sitä loki viestin formatointi logiikkaa ei ollut 10 vuotta sitten. <br /><br />Ja tuossa Logj viesti formatoinnissa näytää olevan noin parikymmentä lookup luokkaa ja tuskin tuo jndi on ainut vaarallinen, vaikka onkin helppokäyttöisin hyökkääjälle.<br /><br />Tuossa lokiviesti formatoinnissa ei ole ymmärretty tietoturvapuolta ollenkaan.<br /><br />2000 luvun alussa Apache java kirjastot olivat turvallisia ja laadukkaita mutta tilanne on tainut muuttua. Olisko kehittäjä sukupolvi vaihtunut ja resurssit vähentyneet. <br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-50097554117033465512021-12-15T11:39:04.878+02:002021-12-15T11:39:04.878+02:00--"Ylen uutisointi on virheellinen, pelotella...--"Ylen uutisointi on virheellinen, pelotellaan turhaan. Log4j ei vaikuta kotikoneiden nopeuteen."--<br /><br />Kimmo Rousku puhuu asiaa, mutta toimittaja sekoittaa palvelimet ja kotikoneet.<br /><br /><a href="https://areena.yle.fi/audio/1-50999159" rel="nofollow">Kimmo Rouskun haastattelu: Radio Suomen Päivä -- Nettivirukset uhkaavat</a><br /><br />Rousku:<br />--Verkkorikolliset ovat ottaneet palvelimen hallintaan ja alkaneet louhia kryptovaluuttaa.<br /><br />Toimittaja:<br />--Miten tavallinen ihminen voi havaita, että hänen koneellaan, palvelimellaan louhitaan kryptovaluuttaa jonkun toisen nimiin?<br /><br />Rousku:<br />--Tämä ei koske tavallisia kotikäyttäjiä.<br />--Louhinnan huomaa siitä, että palvelu alkaa valtavasti hidastella, todella tahmeaa.<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-41147063632655815682021-12-15T09:46:37.409+02:002021-12-15T09:46:37.409+02:00Ylen uutisointi on virheellinen, pelotellaan turha...Ylen uutisointi on virheellinen, pelotellaan turhaan. Log4j ei vaikuta kotikoneiden nopeuteen.Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-71585076013685695032021-12-15T09:17:35.438+02:002021-12-15T09:17:35.438+02:00Yle uutisoi
Tietokoneesi hitaus voi johtua uudest...Yle uutisoi<br /><br />Tietokoneesi hitaus voi johtua uudesta internetin haavoittuvuudesta...<br />https://yle.fi/uutiset/3-12229771<br /><br />Ammattilaiset lukevat uutiset ihan muualta joten tuon kohderyhmää on kuluttajat, pelotellaanko tuossa nyt aiheettomasti ihmisiä. Onhan tuo log4j työasemissakin ongelmana mutta tavalliset käyttäjät koneineen lienevät aika turvassa, kun noudattaa perinteistä ohjetta "älä asenna mitään tuntemattomia sovelluksia".Teemuhttps://www.blogger.com/profile/18314957198069651634noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-67113909626196611992021-12-15T00:45:26.759+02:002021-12-15T00:45:26.759+02:00Tämähän aukko muistuttaa PHP:n include($page) aukk...Tämähän aukko muistuttaa PHP:n include($page) aukkoa, joita oli hyvin monella sivulla 2000 luvun alussa.<br /><br />Muutes mitenkäs GDPR suhtautuu tähän Log4j käyttöön? Käsittääkseni sillä logitetaan käyttäjän syöte jne…<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-45186353552459580382021-12-14T21:24:50.860+02:002021-12-14T21:24:50.860+02:00Kiitokset selityksestä ja korjauksesta. Kannattaa ...Kiitokset selityksestä ja korjauksesta. Kannattaa varmasti sitten poistaa nuo räpellykset ja ylimääräinen ensimmäisen kopio tuosta lopusta.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-40907428856908694652021-12-14T21:19:52.483+02:002021-12-14T21:19:52.483+02:00Blogger ei anna ylläpidollekaan mitään ilmoitusta ...Blogger ei anna ylläpidollekaan mitään ilmoitusta kommenteista, jotka se luokittelee spammiksi. Kaikki pitää tarkistaa käsin. Vanha järjestelmä oli parempi, en ymmärrä miksi heikensivät sitä. Huomasin parin kommenttisi jääneen filtteriin joten vapautin ne. Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-35370315762144907822021-12-14T21:13:29.032+02:002021-12-14T21:13:29.032+02:00Kerran vielä,
1. osa "14. joulukuuta 2021 kl...Kerran vielä,<br /><br />1. osa "14. joulukuuta 2021 klo 21.07" ja sitten <br />2. osa "14. joulukuuta 2021 klo 21.03" <br /><br />Omituista, että Bloggeri ei anna mitään virheilmoitusta, viesti näkyy iselle kuin se olisi julkaistu mutta sitten kun tekee reloadin sitä ei ole. Ilmeisesti spämmereitä varten oleva ominaisuus. Täytyy yrittää jatkossa muistaa tämä.<br /><br />Ja viestin hukkumiseen riitti neljä (4) html muotoista linkkiä.<br /><br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-23729641388112615452021-12-14T21:08:35.481+02:002021-12-14T21:08:35.481+02:00OK, sama ongelma toistui. Neljä linkkiä oli liikaa...OK, sama ongelma toistui. Neljä linkkiä oli liikaa, joten poistin ankkurit noista kahdesta.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-73742974286984882272021-12-14T21:05:54.543+02:002021-12-14T21:05:54.543+02:00Pahoittelut, että kaksi edellisät kommenttia on vä...Pahoittelut, että kaksi edellisät kommenttia on väärässä järjestyksessä. Ensimmäinen hävisi jonnekin ilman virhettä ja en huomannut sitä ennen toisen osan postaamista.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-37246245986954302172021-12-14T21:03:17.831+02:002021-12-14T21:03:17.831+02:00Jatko ...
Kun James Gosling Sun Microsystems palv...Jatko ...<br /><br />Kun James Gosling Sun Microsystems palveluksessa ollessaan alkoi kehittää Javaa, niin yksi tärkeimmistä tavoitteista oli tehdä C++:aa helpompi ohjelmointikieli ja joka toteuttaa objektiorientoituneen ohjelmoinnin menetelmiä, jotka -80 luvun lopulta alkaen saavuttivat suosiota. <br /><br />Youtubessa on muuten erinomainen kaksiosainen <a href="https://www.youtube.com/results?search_query=Orali+history+of+James+Gosling" rel="nofollow">Oral History of James Gosling</a> -video, jonka Computer History Museum haastattelijat tekivät 2019.<br /><br />Kun huomioidaan se, että Java valitaan usein kieleksi siksi, että sen kanssa pärjää vähemmänkin kokeneet ohjelmoijat kun vaikkapa C++:n kanssa, niin kiinnostus teknisiin yksityiskohtiin, joilla on merkitystä turvallisuuden kannalta ei aina jaksa riittävästi kiinnostaa Javaa käyttäviä firmoja saati ohjelmoijia. Usein heille riittää, että unit-testit menee läpi, tehdään core-review parin kanssa ja koodi laitetaan käyttöön.<br /><br />Projektien kiireessä ei keritä kun lisäillä moduuleja jakelusta tarpeen mukaan ja jos siellä ei ole sopivaa niin etsitään sopivaa hakukoneilla ja SO:sta ratkaisua, jotta päästään eteenpäin. Houkutus uuden moduulin lisäämiseen on silloin suuri ja vaikka yrittäisi olla tarkkana mistä ja mitä lataa, niin voi käydä että tulee lisättyä myös jotain muuta.<br /><br />Tämä johtuu siitä, että IDE -kehitysvälineitä käyttäessä kun kehittäjä lisää tarvitsemansa moduulin niin jos sillä moduulilla on lisäksi riippuvuus joihinkin muihin moduuleihin, niin jotkut kehitysvälineet lataa automaattisesti levyltä ja yhä useammin myös verkosta paikalliselle levylle automaattisesti eikä kehittäjä välttämättä huomaa kun lataus vain vilahtaa nopeasti ohi ensimmäisellä kerralla ja jatkossa se linkitetään mukaan ilman mitään tulostetta. <br /><br />Tietysti tässä on eroja eri kehittävien (firmojen ja ihmisten) välillä prosesseissa, mutta ohjelmistokirjastot ja moduulien käyttö on niin yleistä nykyään, että hyvin suurella todennäköisyydellä läheskään kaikki kehittämät eivät kovinkaan hyvin tiedä ja tunne mitä kaikkia oman koodin ulkopuolisia moduuleja ohjelmisto kaiken kaikkiaan käyttää koska niiden itse lataamien moduulien lisäksi ne moduulit lataavat myös itse toisia moduuleja ja kirjastoja.<br /><br />Jos edellä olevassa ei olisi mitään perää, niin sen tiedon löytäminen onko firman ohjelmistoissa käytetty Log4J2 Javan moduulia. Siis onko ohjelmisto haavoittuva jne. ei menisi niin kauan löytää kun nyt listoja katsoessa ja firmojen sivuilta lukiessa asian selvittämiseen menee. <br /><br />Kun sivuilla lukee "Investigating" ja "Unknown", niiden tilalla lukisi joko "Non-vuln" tai "Fix …" kertoo selvästi siitä, että ei tiedetä mitä moduuleja omat ohjelmat käyttävät.<br /><br />Se mitä tässä yritän tuoda esiin on se, että ne perimmäiset syyt miksi näitä vahinkoja tapahtuu on paljon moninaisempia kun mitä tuodaan yleisti esille.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-29583477589595575072021-12-14T21:02:48.492+02:002021-12-14T21:02:48.492+02:00Itseäni ihmetyttää, miksi kukaan tosiaan kiinnittä...<i>Itseäni ihmetyttää, miksi kukaan tosiaan kiinnittänyt huomiota JNDI:hin</i><br /><br />Javan JNDI haavoittuvuus tässä tapauksessa johtuu <a href="https://en.wikipedia.org/wiki/Java_remote_method_invocation" rel="nofollow">RMI</a>:stä. Asiasta on nyt myös <a href="https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/" rel="nofollow">Cloudflaren blogissa</a>.<br /><br />RMI:n vaarallisuus on Javaa kehittäjien toimesta tiedostettu vuosia sitten ja sen käyttöä on jo rajoitettu ja se luultavasti poistetaan myöhemmin koska sen pitäminen turvallisena on ilmeisen mahdoton tehtävä. Alla olevista linkeistä lisää mitä on jo tehty.<br /><br />- <a href="https://openjdk.java.net/jeps/385" rel="nofollow">https://openjdk.java.net/jeps/385</a><br />- <a href="https://openjdk.java.net/jeps/407" rel="nofollow">https://openjdk.java.net/jeps/407</a><br /><br />Log4J2:n JNDI:n siihen lisänneet eivät selvästi ole oivaltaneet, että JDNI:n käyttö on hyvin läheistä sukua eval() kaltaisen kielen funktion käyttämiselle. <br /><br />Ja aivan kuten eval() kanssa pitää aina pystyä huolehtimaan, että mistään ei-luotetusta lähteestä ei voi tulla syötettä, joka päätyy suoritettavaksi. Jos ei pysty, siitä seuraa haavoittuvuus.<br /><br />Koska Log4J2:sta käytetään kirjoittamaan web-palveluissa lokiin, johon tyypillisesti kirjoitetaan mm. web-palvelun yhteydessä URL:sta tietoja käy kuten tässä kävi. Yhtä huonosti käy jos ei syötettä siivoa XSS:n tai SQL -injection varalta.<br /><br />Mutta ehkä olisi vielä syytä pohtia syitä miksi haavoittuvuus koskettaa laajasti ohjelmistoja ja joista sen selvittäminen onko siellä haavoittuva Log4J2 käytössä vai ei.<br />Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6843976375835852604.post-89463683204778404172021-12-14T08:04:39.757+02:002021-12-14T08:04:39.757+02:00--"Mitä muita vastaavia pommeja, ehkä jopa ta...--"Mitä muita vastaavia pommeja, ehkä jopa tahallisia, tietojärjestelmissä uinuu?--<br /><br />Mieleen juolahtaa npm ja left-pad (kik).<br /><br /><a href="https://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm" rel="nofollow">npm users suffered a disruption when a package that many projects depend on — directly or indirectly — was unpublished by its author, as part of a dispute over a package name...</a><br /><br />Anonymousnoreply@blogger.com