Freddy tienes ese don para explicar cosas complicadas de una manera sencilla sos un capo, ahora aprender seguridad que es una habilidad muy retributivo de forma económica
pero no explico lo mas importante cual version exacta de todas las librerias log4j ? si es del core solamente tienen el problema ? solo repitio lo que se sabia pero no el detalle tecnico
@@corazonencantado6297 Repitio lo que se sabia? hay gente que no conoce estas cosas en primer lugar, ademas desde el inciio esta diciendo que solo es un resumen.....
Y pensar que Minecraft Java también tiene esto, y lo magnífico que fue que en usuario en un servidor anárquico lo usó para advertir a los jugadores que deben actualizar sus clientes para evitar ser vulnerados.
Hace poco sucedio lo mismo. Con una gran mayoria de servidores, uniendolos a todos a un servidor de discord el cual estaban todos locos allí, bastante loco.
En 5 años trabajando en banca con Java, en todo tipo de aplicaciones, y solo pensar en todas las aplicaciones legacy y vendors es imposible de reparar todo.
2 года назад+25
Y el problema no es que uno no actualice seguido, porque en general uno lo hace, de manera automática. El problema es que las empresas como Lenovo y similares NO LO HACEN, no envían la actualización, abandonan varios productos y no mandan actualizaciones o parches de seguridad y ahí es donde viene el verdadero problema para uno como usuario.
Wow por fin! Estaba esperando este video hace días jaja. Llevo días recibiendo casos de este tema en mi trabajo y quería ver que tenía para decirnos Freddy jaja
En éste caso no se usa "en realidad es" se usa "lo correcto es" porque esta cometiendo un error, no esta hablado de una fantasía o inventando algo, lo correcto es log cuatro jota 😉
sigo diciendo que es increíble y fascinante, cómo los humanos tenemos que protegernos de otros humanos xd bueno ahora ya no es protegernos de otros humanos sino también de máquinas hechas por otros humanos para dañar a otros humanos. en fin la humanidad. 😔
Siempre ha sido así, cuando los humanos empezaron a ser sedentarios no lo hicieron de un día para otro, la transición duró décadas y mientras unos eran sedentarios otros eran nómadas, muchas veces pasaban hambre y frío y cuando encontraban una comunidad sedentaria con comida entraban a saquear (y matar) para sobrevivir, eso obligó a los sedentarios a hacer murallas y quienes las protegieran para defenderse de otros humanos, los primeros militares de la historia.
Cuando estudiaba en la universidad escuché hablar de alibaba y aliexpress, tiempo después oí sobre amazon como plataforma de compras, me parece curioso que ambos modelos escalaron a servicios cloud, que viene ahora un mercadolibre web services?
8:53 Esa historia me suena muy similar a los reportes de cómo inició (bajo mucho secreto) la pandemia en China también en noviembre y diciembre de 2019... pero luego vino la catástrofe mundial meses después en 2020. :-/
@@DavidBarrera1 el virus también se sabia que existía en china en murciélagos desde hace años, no recuerdo si fue en 2009 o 2011 que se comenzó a estudiar un poblado donde la gente tenia síntomas de gripa constantes y se teorizo que podía ser una enfermedad que saltó a los humanos, la investigadora principal resulta que fue de las primeras personas que se sabe manejo el virus en el laboratorio de Wuhan.
Tienes la habilidad de explicar las cosas para que se oigan de una manera fantástica. En otras palabras por decirlo así.... Sabías que cualquier puerta que tenga una chapa que utilicé una llave se puede abrir y cualquier persona que tenga una lo puede hacer. No me estoy burlando solo describo el contexto. Pero el vídeo es entretenido cuando no quiero ver más noticias de Civid-19 y no tengo que trabajar 👍
Note this flaw ONLY affects applications which are specifically configured to use JMSAppender, which is not the default, or when the attacker has write access to the Log4j configuration for adding JMSAppender to the attacker's JMS Broker.
The tomcat package shipped with Red Hat Enterprise Linux does not include log4j but it does include a default configuration for log4j, log4j.properties, which could be used with tomcat if users choose to install and configure the library. The JMSAppender is not enabled by default, and the permissions of the file can only be modified as root.
Hay gobiernos (y empresas privadas) que sacaron a Microsoft de sus entornos empresariales porque suponían que Windows enviaba información confidencial de los equipos de cómputo de las organizaciones a empresas estadounidenses... Parte de esto fue cierto. Ahora bien lo que comentas es menos probable: ¿porque? Porque a diferencia de un producto cerrado como Windows, Apache no solo publicó la corrección a log4j sino que puede uno ver el commit exacto y el detalle puntual de la corrección, es más puede uno bajar el código y ver lo que hace al completo la librería. No se necesita ser un Dios de la programación para entender el código (hay un canal de RUclips de colegas argentinos donde está semana platicaron a detalle del commit con la corrección). Esa es una de las razones de la confianza de empresas y gobiernos en el software libre.
Por cierto hay otro canal donde se muestra de forma puntual como reproducir el problema generando un directorio temporal en una máquina atacada usando máquinas virtuales con Kali Linux (atacante) y Ubuntu (atacada).
Pero si decían que Java ya estaba muerto, al parecer muchas aplicaciones importantes están hechas en Java. Es extraño que en las encuestas que nos presentan siempre este leguaje es poco utilizado.
Freddy dice que JNDI es un protocolo pero JNDI no es un protocolo, justamente cómo lo indica su nombre, es una interfaz. Una interfaz permite la comunicación entre elementos de distintas capas, el concepto es super entendible si se estudia el modelo OSI. El LDAP (Lightweight Directory Access Protocol) si es un protocolo y se utiliza para entre otras cosas encontrar objetos dentro de bases de datos. Nada solo eso, gracias!
pero freddy si uno se arma en protección alfinal el computador estará procesando constantemente y no me dejara (por no decir que no me deja) trabajar olgadamente y ese es un problema porque ya sea la empresas o trabajos universitarios requieren rapidez que se hace en estos casos, esto puede ser un simil para usuarios con un computador de baja gama
Ahora entiendo porque a pesar de todos los parches de seguridad que se le meten al servidor de minecraft siempre hayan la forma de sacarse permisos y raidearlo/hackarlo. Lo unico bueno que, cada que lo intentan es un parche nuevo tapado y menos opciones de poder hackear.
Hace poco a un amigo le llegó un pago por 700 dólares desde su tarjeda de débito por supuestos servicios de AWS, no sé si tenga que ver con este tema pero tiene algo de sentido
No es que no la auditen, es que es imposible saber todas las posibles vulnerabilidades de un sistema, según Freddy comenta esto existe desde el 2013. Hasta proyectos open source abiertas a qué todos miren el código tienen vulnerabilidades.
No tiene nada que ver el auditar librerias, esto existe desde hace años, como lo dijo Freddy de ejemplo, si detectaran una vulnerabilidad en el alert de javascript, crees que te echarían la culpa por no auditar javascript? Además, cuantos miles de miles de dólares cuesta auditar (no solo una libreria) cada libreria usada.
@@neociber24 lo grave sería que alguien creara la vulnerabilidad de forma voluntaria para venderla por dinero. la forma mas fácil de que un país hackee a otro puede ser precisamente por este tipo de mecanismos como mandar espías expertos en programación a inyectar las librerías mas usadas y explotar vulnerabilidades, todo hecho con esa intención eso de que fue accidente tiene que ser analizado con cautela pues esta vulnerabilidad no es poca cosa.
@@spartanlegendsesy Suena bien... con librerías cerradas como extjs u dlls o software cerrado o cracks para Windows u office de dudosa procedencia en Internet. En el software libre, dónde se mira lo que el producto hace, es más fácil que lo que encuentre uno es un error como este. También en el software libre es más fácil que la comunidad reporte nuevos problemas y la solución sea más rápida (como en este caso)
lo que pasa es que por esa razon ellos dejaron de actualizar java y por encima de todo los cheles ya lo vienen explotando ya desde el 2002. ya que desde entonces dos de mis computadoras empezaron a trabajar erroneamente y un de ellas esta ligada a un servido x que no se ni siquiera quien lo controla facinante si pero inusual
Tengo miedo, porque en realidad no sé que hacer. Mi reacción natural fue congelar mi tarjeta y cambiar la clave de mi correo, pero ni idea que más debo hacer como usuario constante de la red
Descongelala eso no te sirve de nada, Proteje todas tus cuentas y sigue siendo usuario normal, aprende seguridad informatica y listo es lo unico que queda.
Despues de ver multiples videos en diferentes idiomas y fuentes tratando de entender que es log4j y no entender nada, vi tu video y tengo que decir que eres un genio me encanta como lo explicas en español, no en chino hahaha. Muchas gracias hermano.
No por que su libreria tuviera un hueco de seguridad quiere decir que se va dejar de usa java bro, pero si quieres aprender python esta bien, es muy bueno :D
Creo que tanto Phyton como Java ya son muy robustos y se quedarán con nosotros, como dice Freddy casi todo aparato tiene Java, y siempre se contratan huecos en cualquier sistema ya que nada es perfecto, solo hay que mantenerse informado y siempre estar actualizando todo
Porfavor saquenme de una duda ¿eso quiere decir que sería fatal si empiezo a crear una aplicación en Java? ¿Mi aplicación se verá afectada de alguna u otra forma?
Que pereza las personas como usted que a toda hora menosprecia su lugar donde vive, su celular dónde está escribiendo esta estupidez, el módem , las antenas de telefonía, televisores, etc, etc , estudie más bien
Siento que aunque sí, es un problema gigante y que está en la versión 2 de log4j, depende también como este protegido a nivel de infraestructura nuestro servidor, como este configurado el firewall, si accedes a través de una VPN entonces también son redes e IP privadas, etc. Entonces soluciones como las que dices Freddy de parchar la librería, es una de las más rápidas y adecuadas para salir de este problema rápido. Pero alguien con la capacidad para crear robots que ejecuten algoritmos altamente complejos en busca de información, pues atacará a empresas grandes, o entidades gubernamentales, creo que del 100% realmente un 2% está en peligro, los demás pueden estar más tranquilos.
¿Y qué pasará con esos miles de aplicaciones legacy que nadie quiso actualizar el código arcaico porque "si funciona no lo cambies"? No pinta bien esto
Pusieron en riesgo la ciberseguridad china revelando el fallo a una organización extranjera con posible infiltración de inteligencia enemiga, es normal que se enoje China al igual que se enojó USA cuando Snowden
Me sorprende como la política alcanza lugares tan abstractos como la programación, pero mas me sorprende las pocas agallas como para querer explotar algo tan importante y vital para el mundo entero
Hoy es una ventaja que no todo el mundo sepa aprender a programar y menos en Java. Me parece que está vulnerabilidad también puede ser detectable con el bello shell script y awk. Los principios son la base de la diversión 🤣
Freddy tienes ese don para explicar cosas complicadas de una manera sencilla sos un capo, ahora aprender seguridad que es una habilidad muy retributivo de forma económica
Se dice retributiva no retributivo
@@gerardoruizjacobson6998 el corrector no fue retributivo😂
@@brayanalbertorojasgallo8042 xD
pero no explico lo mas importante cual version exacta de todas las librerias log4j ? si es del core solamente tienen el problema ? solo repitio lo que se sabia pero no el detalle tecnico
@@corazonencantado6297 Repitio lo que se sabia? hay gente que no conoce estas cosas en primer lugar, ademas desde el inciio esta diciendo que solo es un resumen.....
Y pensar que Minecraft Java también tiene esto, y lo magnífico que fue que en usuario en un servidor anárquico lo usó para advertir a los jugadores que deben actualizar sus clientes para evitar ser vulnerados.
Hace poco sucedio lo mismo. Con una gran mayoria de servidores, uniendolos a todos a un servidor de discord el cual estaban todos locos allí, bastante loco.
ruclips.net/video/Z22O5uEsF6U/видео.html
2b2t
¿También les pasó que esperaban el momento en que Freddy dijera Log 4 Jota y no Log 4 Gé? xd
Ya le iba a comentar pero me ganaste tocayo...
Jaja lo dice bien en inglés mal en español . Yei = j yi= g
Si, me daba un tic cada vez que lo escuchaba, estaba hasta contando las veces que lo dice, pero dije, va!!, que siga nomás...
Cierto, dice log cuatro ge en lugar de log cuatro jota
Jajajajajaja
Cuánto que hay para aprender, no terminas nunca, es genial.
True
Verdad
Díselo a una IA
En 5 años trabajando en banca con Java, en todo tipo de aplicaciones, y solo pensar en todas las aplicaciones legacy y vendors es imposible de reparar todo.
Y el problema no es que uno no actualice seguido, porque en general uno lo hace, de manera automática. El problema es que las empresas como Lenovo y similares NO LO HACEN, no envían la actualización, abandonan varios productos y no mandan actualizaciones o parches de seguridad y ahí es donde viene el verdadero problema para uno como usuario.
Pues no compres eso wey
Wow por fin! Estaba esperando este video hace días jaja. Llevo días recibiendo casos de este tema en mi trabajo y quería ver que tenía para decirnos Freddy jaja
Hombre, primero me asustas y luego me ofreces tu curso. Excelente táctica, en una semana tomo el curso hahaha
6:56 gracias por la aclaración
J en inglés suena Yei y G suena Yi, Yei es parecido a G y suele confundirse pero en realidad es jota, log 4 jota.
En éste caso no se usa "en realidad es" se usa "lo correcto es" porque esta cometiendo un error, no esta hablado de una fantasía o inventando algo, lo correcto es log cuatro jota 😉
@@Mario_Fidel_Castro_Davalos Uff, muy cierto. Estamos acostumbrados a decir 'en realidad' y ahora que lo pienso casi siempre está mal dicho.
Jajaja es jota, Fredy, es JOTA!! no G.
Ja, lo mismo noté y escribí 58 minutos después que Tú.
Interesante. Siempre digo "en realidad"
Ahora aprendí y me asesoré que está mal dicho.🤦
sigo diciendo que es increíble y fascinante, cómo los humanos tenemos que protegernos de otros humanos xd
bueno ahora ya no es protegernos de otros humanos sino también de máquinas hechas por otros humanos para dañar a otros humanos.
en fin la humanidad. 😔
Siempre ha sido así, cuando los humanos empezaron a ser sedentarios no lo hicieron de un día para otro, la transición duró décadas y mientras unos eran sedentarios otros eran nómadas, muchas veces pasaban hambre y frío y cuando encontraban una comunidad sedentaria con comida entraban a saquear (y matar) para sobrevivir, eso obligó a los sedentarios a hacer murallas y quienes las protegieran para defenderse de otros humanos, los primeros militares de la historia.
En fin representación de lo que llaman bella naturaleza, es igual con cualquier ser vivo.
No tiene nada de increíble. Lo contrario también es cierto, hay muchísima bondad.
The Matrix (1999).
@@LuisVPazmino It begins...
Cuando estudiaba en la universidad escuché hablar de alibaba y aliexpress, tiempo después oí sobre amazon como plataforma de compras, me parece curioso que ambos modelos escalaron a servicios cloud, que viene ahora un mercadolibre web services?
No, ellos están sobre AWS y la nube de google
China copia todo lo que hace el mundo xd
@@jututogame1999 xd
Híjole te atrasaste solo que se llama mercado pago ;)
8:53 Esa historia me suena muy similar a los reportes de cómo inició (bajo mucho secreto) la pandemia en China también en noviembre y diciembre de 2019... pero luego vino la catástrofe mundial meses después en 2020. :-/
esto existe desde 2013
@@DavidBarrera1 el virus también se sabia que existía en china en murciélagos desde hace años, no recuerdo si fue en 2009 o 2011 que se comenzó a estudiar un poblado donde la gente tenia síntomas de gripa constantes y se teorizo que podía ser una enfermedad que saltó a los humanos, la investigadora principal resulta que fue de las primeras personas que se sabe manejo el virus en el laboratorio de Wuhan.
No es nada nuevo, asi funciona todo en todo el mundo
No creo que ya que podrían haber sacado la vacuna mucho antes para sacar provecho
Thanos: "Usé las gemas para destruir las gemas"
También Hackers: "Usé Log4j para arreglar Log4j"
La habilidad de Freddy y del equipo de Platzi para mantenernos informados y a la vez vendernos un curso relacionado con el tema. Mis respetos.
Asqueroso, pura copia de otros sitios de mayor prestigio en ingles. Pero como la mayoria no sabe pues. HETE AQUI.
Jajaj por tu falta de inglés p
exito freddy . eres genial la manera como explicas se te entiende sin esfuerzo,
También le afectó a log4g , que barbaridad 🤓😜
Hola Freddy ¿Cómo estas? Muy lindo tu video, pero ¿Cómo consigo una campera igual a la tuya? saludotes
Después de casi un año vuelvo a GUARDAR un VÍDEO en FAVORITOS, Excelente!
Tienes la habilidad de explicar las cosas para que se oigan de una manera fantástica. En otras palabras por decirlo así.... Sabías que cualquier puerta que tenga una chapa que utilicé una llave se puede abrir y cualquier persona que tenga una lo puede hacer. No me estoy burlando solo describo el contexto. Pero el vídeo es entretenido cuando no quiero ver más noticias de Civid-19 y no tengo que trabajar 👍
Es todo un placer escuchar a Freddy ❤️
Que elocuencia para la docencia, madre mía! Todo lo haces fácil de comprender
En momentos como este me alegro de haber puesto logback y no log4j en los sistemas con que trabajo.
En realidad puede que las personas actualicen pero muchísimas empresas grandes usan software de hace mas de 10 años
Note this flaw ONLY affects applications which are specifically configured to use JMSAppender, which is not the default, or when the attacker has write access to the Log4j configuration for adding JMSAppender to the attacker's JMS Broker.
The tomcat package shipped with Red Hat Enterprise Linux does not include log4j but it does include a default configuration for log4j, log4j.properties, which could be used with tomcat if users choose to install and configure the library. The JMSAppender is not enabled by default, and the permissions of the file can only be modified as root.
Ok, y por qué en inglés?
@@athanathor lo copié como aparece en el portal de RedHat con respecto a la vulnerabilidad y su servidor de aplicaciones JBoss EAP o WildFly
15:35, ya he tenido malas experiencias con hackers, la paranoia no es algo que me guste mucho... me trae malos recuerdos
Un shot por cada vez que Freddy dice "sistemas autónomos"
Limón cada vez que dice "cuatro jé"
Menos mal estamos salvados. Uffff! Que susto!!! Ya que el error es Log4g y no Log4j. Gracias Freddy!! Eres el mejor. Ejejje!!😁👍😉
Cualquiera podría pensar de que esto fue pensado de forma sistemática para extraer datos por parte de organizaciones gubernamentales.
Hay gobiernos (y empresas privadas) que sacaron a Microsoft de sus entornos empresariales porque suponían que Windows enviaba información confidencial de los equipos de cómputo de las organizaciones a empresas estadounidenses... Parte de esto fue cierto. Ahora bien lo que comentas es menos probable: ¿porque? Porque a diferencia de un producto cerrado como Windows, Apache no solo publicó la corrección a log4j sino que puede uno ver el commit exacto y el detalle puntual de la corrección, es más puede uno bajar el código y ver lo que hace al completo la librería. No se necesita ser un Dios de la programación para entender el código (hay un canal de RUclips de colegas argentinos donde está semana platicaron a detalle del commit con la corrección). Esa es una de las razones de la confianza de empresas y gobiernos en el software libre.
FREDY, EXCELENTE TU VÍDEO, ME GUSTÓ MUCHÍSIMO !!!
GRACIAS POR COMPARTIR TUS CONOCIMIENTOS. DIOS TE BENDIGA ABUNDANTEMENTE.
Por cierto hay otro canal donde se muestra de forma puntual como reproducir el problema generando un directorio temporal en una máquina atacada usando máquinas virtuales con Kali Linux (atacante) y Ubuntu (atacada).
Tienes el dato del canal/vídeo?
@@mariogomezarr si amigo acá lo tienes en perfecto español: ruclips.net/video/qMHeil1ekCk/видео.html
Pero si decían que Java ya estaba muerto, al parecer muchas aplicaciones importantes están hechas en Java. Es extraño que en las encuestas que nos presentan siempre este leguaje es poco utilizado.
Java no estaba muerto andaba de parranda
java nunca murio ni va a morir creo, lo que tenia era una pelea con oracle pero nada mas
XD Java muerto que gracioso XD
Está más vivo que nunca el ogt
esta pobre anda programa en python special
Freddy dice que JNDI es un protocolo pero JNDI no es un protocolo, justamente cómo lo indica su nombre, es una interfaz. Una interfaz permite la comunicación entre elementos de distintas capas, el concepto es super entendible si se estudia el modelo OSI.
El LDAP (Lightweight Directory Access Protocol) si es un protocolo y se utiliza para entre otras cosas encontrar objetos dentro de bases de datos. Nada solo eso, gracias!
El modelo OSI no es un a estandarización del Internet que en la practica no se usa?
Por favor esroy perdido e ignoro algo..
pero freddy si uno se arma en protección alfinal el computador estará procesando constantemente y no me dejara (por no decir que no me deja) trabajar olgadamente y ese es un problema porque ya sea la empresas o trabajos universitarios requieren rapidez que se hace en estos casos, esto puede ser un simil para usuarios con un computador de baja gama
Se necesitaba la info del señor cabecicuadrado, Muchas gracias
yo también confundo la J y la G en ocasiones... bueno, no en tantas ocasiones como Freddy pero casi...
No entendí la mitad de lo que dijiste mi querido freddy.
Solo entendí que cualquier día me pueden hackear 😱😨
El gobierno chino, debería tener una suscripción en platzi...
¿Alguien sabe si los certificados de platzi especifican el número de horas?
Gracias por el tutorial para explotar el log4j. Gran comunicador y pedagogo, Fredy!
Y la informática Quantica no puede solucionar esto?? Saludos cordiales desde Misiones, Argentina 🇦🇷
Log cuatro "JOTA", no "ge" 😉
Un shot por cada vez que Freddy dice log-4-g 😆
Jajaj estaba buscando este comentario
Entré a los comentarios solo buscando esto :)
Si no existía este comentario lo ponía yo jajaja
seguramente es una prueba para saber si estamos aprendiendo el inglés correctamente. saludos Freddy
Estoy pedísimo de tanto shot
Belga, de Bélgica
En mi trabajo tuvimos que actualizar los jars y hacer un hot fix rápidamente en producción.
Que bien y en qué trabajas la banca ?
(10:16) 👀 sí eso ocurre con los huecos de seguridad. Qué paso con la 😷?
Ahora entiendo porque a pesar de todos los parches de seguridad que se le meten al servidor de minecraft siempre hayan la forma de sacarse permisos y raidearlo/hackarlo.
Lo unico bueno que, cada que lo intentan es un parche nuevo tapado y menos opciones de poder hackear.
cuando veo un video de platzi, si aparece freddy se que el final del video sera aterrador!.jeje
buen video! gracias por informar.
Freddy no tengo ni idea de siver seguridad, explicame como me protejo, dicen que slio la vercion 2.17.0 pero no se que es ni como usarlo
Hace poco a un amigo le llegó un pago por 700 dólares desde su tarjeda de débito por supuestos servicios de AWS, no sé si tenga que ver con este tema pero tiene algo de sentido
Ya no me siento tan mal programador ahora que se que las grandes empresas recurieron a esta libreria sin haberla auditada primeramente
No es que no la auditen, es que es imposible saber todas las posibles vulnerabilidades de un sistema, según Freddy comenta esto existe desde el 2013.
Hasta proyectos open source abiertas a qué todos miren el código tienen vulnerabilidades.
No tiene nada que ver el auditar librerias, esto existe desde hace años, como lo dijo Freddy de ejemplo, si detectaran una vulnerabilidad en el alert de javascript, crees que te echarían la culpa por no auditar javascript? Además, cuantos miles de miles de dólares cuesta auditar (no solo una libreria) cada libreria usada.
@@neociber24 lo grave sería que alguien creara la vulnerabilidad de forma voluntaria para venderla por dinero. la forma mas fácil de que un país hackee a otro puede ser precisamente por este tipo de mecanismos como mandar espías expertos en programación a inyectar las librerías mas usadas y explotar vulnerabilidades, todo hecho con esa intención eso de que fue accidente tiene que ser analizado con cautela pues esta vulnerabilidad no es poca cosa.
@@spartanlegendsesy Suena bien... con librerías cerradas como extjs u dlls o software cerrado o cracks para Windows u office de dudosa procedencia en Internet. En el software libre, dónde se mira lo que el producto hace, es más fácil que lo que encuentre uno es un error como este. También en el software libre es más fácil que la comunidad reporte nuevos problemas y la solución sea más rápida (como en este caso)
En un curso de Platzi, mencionan que no debemos usar ese tipo de imágenes con marca de agua del minuto 1:35!
¿El de horatoria? :0
Gracias Freddy por traer esta información tan importante... ahora mismo me pongo a compartirlo ... Gracias de nuevo... Un saludo
Ya es un poco tarde, hace dos semanas que salió la vulnerabilidad.
Freddy actualiza el curso básico de programación
Cuando dijo "y como tú ya tienes una suscripción a Platzi...-" me asusté por un segundo, porque ayer la compré xd
En plazi hay cursos para aprender ortografia, hasta de pedicure,
Pedicure?
Esta librería tiene código privativo o libre?
no me queda algo claro que medidas debemos tomar actualizar nuestros sistemas operativos windows, android y los firmware de nuestros reouters?
lo que pasa es que por esa razon ellos dejaron de actualizar java y por encima de todo los cheles ya lo vienen explotando ya desde el 2002. ya que desde entonces dos de mis computadoras empezaron a trabajar erroneamente y un de ellas esta ligada a un servido x que no se ni siquiera quien lo controla facinante si pero inusual
Excelente !!! Gracias
Gracias por el tutorial freddy! muy atento :)
Justo estaba esperando que Freddy lo explique
Más allá de la info muy útil. Me encanta la narrativa!!!!
Sería bueno agregar algún curso de Criptografía en la ruta de seguridad informática
Hola Frddy entonces Java lleva riesgo de que lo reemplazen como lenguaje? 😖
Tengo miedo, porque en realidad no sé que hacer.
Mi reacción natural fue congelar mi tarjeta y cambiar la clave de mi correo, pero ni idea que más debo hacer como usuario constante de la red
Descongelala eso no te sirve de nada, Proteje todas tus cuentas y sigue siendo usuario normal, aprende seguridad informatica y listo es lo unico que queda.
Amigo tranquilo , no pasa nada :/
@@fersenmacias2699 no pasa nada ? Son las 1:47 AM estoy llamando a mi primo que es programador ; eso es lo último que diría Fredy en el vídeo
@@fersenmacias2699 ok creo que a mí tambuen me está llevando la paranoy
Usar autentificador en dos pasos ;-)
Despues de ver multiples videos en diferentes idiomas y fuentes tratando de entender que es log4j y no entender nada, vi tu video y tengo que decir que eres un genio me encanta como lo explicas en español, no en chino hahaha. Muchas gracias hermano.
Perdon por mi ignorancia pero en que programa se puede ejecutar ese codigo??
Qué se hace cómo usuario promedio de internet?
Es conveniente aprender python o algún otro lenguaje? Creen que Java podría dejar de usarse en unos 5 años?
No por que su libreria tuviera un hueco de seguridad quiere decir que se va dejar de usa java bro, pero si quieres aprender python esta bien, es muy bueno :D
Creo que tanto Phyton como Java ya son muy robustos y se quedarán con nosotros, como dice Freddy casi todo aparato tiene Java, y siempre se contratan huecos en cualquier sistema ya que nada es perfecto, solo hay que mantenerse informado y siempre estar actualizando todo
Excelente información Freddy, gracias!
Muy interesantes usted es el mejor
Perdón, escribí ese comentario borracho anoche, aunque mi opinión del video sigue siendo la misma 👍🏻
Oye interesante, ganas de aprender esos cursos, ya lo voy a poner en mi lista de aprendizaje
Mi pregunta es (y no sé si será algo absurda) pero, ¿de dónde provienen los bots, y quién los crea?
Muy buena pregunta
¿Sería de la inteligencia artificial o machines learning?
Porfavor saquenme de una duda ¿eso quiere decir que sería fatal si empiezo a crear una aplicación en Java? ¿Mi aplicación se verá afectada de alguna u otra forma?
No si la perchas, y la creas con el hueco de seguridad solventado
Log4J es solo una librería de logs, usa otra librería como por ejemplo logback. Eso es todo.
logback y listo. Cómo un ejemplo
Los gestores de contraseñas siguen siendo seguros?
y ese curso entra entre los basicos gratuitos... ejemplo el primer nivel... .o es paso desde el inicio
Gracias
Es una gran ventaja vivir en latinoamerica, NO TANTO POR ACTUALIZAR LOS APARATOS!! si NO porque NO tenemos aparatos!! jajaja
Que pereza las personas como usted que a toda hora menosprecia su lugar donde vive, su celular dónde está escribiendo esta estupidez, el módem , las antenas de telefonía, televisores, etc, etc , estudie más bien
Thanks
grande freddy todos hablaban deesto pero nadie explicaba como funcionaba
Fredy y comunidad platzi ¿podrían hablar de Sand, de sandbox?
pienso que no hay que depender de librerías y programar uno mismo las cosas
Siento que aunque sí, es un problema gigante y que está en la versión 2 de log4j, depende también como este protegido a nivel de infraestructura nuestro servidor, como este configurado el firewall, si accedes a través de una VPN entonces también son redes e IP privadas, etc. Entonces soluciones como las que dices Freddy de parchar la librería, es una de las más rápidas y adecuadas para salir de este problema rápido. Pero alguien con la capacidad para crear robots que ejecuten algoritmos altamente complejos en busca de información, pues atacará a empresas grandes, o entidades gubernamentales, creo que del 100% realmente un 2% está en peligro, los demás pueden estar más tranquilos.
¿Y qué pasará con esos miles de aplicaciones legacy que nadie quiso actualizar el código arcaico porque "si funciona no lo cambies"?
No pinta bien esto
Este video no es Para todos, muy tecnico
Fredy me gusta en verdad como vendes. Excelente
Es una biblioteca, la traducción a librería es incorrecta
Ya decia yo, donde estaba el video de Platzi hablando del tema?
El banco bcp trabaja con java al parecer, que cosas no?
Creo que Alibaba no le comunico a China sobre el Bug ya que le estorbaron el negocio al tio Jack Ma meses antes. xD
ojo por ojo xD
jajajaja
Pusieron en riesgo la ciberseguridad china revelando el fallo a una organización extranjera con posible infiltración de inteligencia enemiga, es normal que se enoje China al igual que se enojó USA cuando Snowden
excelente video, estupenda explicación , gracias ✌🏻
Me sorprende como la política alcanza lugares tan abstractos como la programación, pero mas me sorprende las pocas agallas como para querer explotar algo tan importante y vital para el mundo entero
Excelente video! Solo una observación, se escucha un poco de eco de fondo! Saludos
Gente secuestrando servidores... de Minecraft... y pidiendo rescate... jamás creí que hubiera tanta maldad en el mundo
@platzi no pusieron los links de las herramientas para detectar el log4j
Si saben ese problema hace 10 años ¿Cómo es que no lo han arreglado?
Como es que se detecto esta vulnerabilidad hasta ahora si parece ser tan evidente la forma en la que se pondría inyectar codigo de esta forma
welcome, code and peace. ✌
Me parece raro que no se haya explotado esto hasta ahora, fueron 8 años, anda a saber las cosas que se habrán hecho
Java o javascrip? O los dos?
Hoy es una ventaja que no todo el mundo sepa aprender a programar y menos en Java. Me parece que está vulnerabilidad también puede ser detectable con el bello shell script y awk. Los principios son la base de la diversión 🤣
Sabes programar con Java?
Si usamos Shopify. Aún somos vulnerables? O el equipo de Shopify nos tiene cubiertos?
Shopify es php