Это видео недоступно.
Сожалеем об этом.
¿Qué es Log4j y por qué esta vulnerabilidad amenaza a TODO INTERNET?
HTML-код
- Опубликовано: 7 авг 2024
- 💀 Log4j es una librería MUY popular de Java que está presente en millones de dispositivos al rededor del mundo. HOY esa librería presenta una de las mayores vulnerabilidades de internet que pueden afectar a cualquiera de tus dispositivos, lo suficiente como para robarte tus datos personales.
👨💻 Freddy Vega, CEO y cofundador de Platzi, te contará en este video qué es y por qué debes preocuparte por Log4j.
👇 Estos son los cursos que Freddy te recomienda
Guía para Aprender Seguridad Informática: platzi.com/l/guia-informatica/
Curso Básico de Seguridad Informática para Empresas: platzi.com/l/curso-seguridad/
----------------------------------------------------------------------
👉 Platzi es una plataforma de educación Online, con tu suscripción tienes acceso a cursos en diferentes áreas de aprendizaje:
- Desarrollo e ingeniería
- Diseño y UX
- Marketing
- Negocios y emprendimiento
- Producción audiovisual
- Crecimiento profesional
Cada área está compuesta por Rutas de aprendizaje y Escuelas que harán de tu perfil uno de los más demandados de la industria. Además, cuentas con nuestros grupos de estudio, meetups digitales y tutoriales en nuestro sistema de discusiones.
----------------------------------------------------------------------
Todo esto y más, en platzi.com
Síguenos
Facebook: platzi.com/l/fHl6pows/
Twitter: platzi.com/l/0DJ5PONB/
Instagram: platzi.com/l/jt260ue0/
@especial-platzi
¿También les pasó que esperaban el momento en que Freddy dijera Log 4 Jota y no Log 4 Gé? xd
Ya le iba a comentar pero me ganaste tocayo...
Jaja lo dice bien en inglés mal en español . Yei = j yi= g
Si, me daba un tic cada vez que lo escuchaba, estaba hasta contando las veces que lo dice, pero dije, va!!, que siga nomás...
Cierto, dice log cuatro ge en lugar de log cuatro jota
Jajajajajaja
Freddy tienes ese don para explicar cosas complicadas de una manera sencilla sos un capo, ahora aprender seguridad que es una habilidad muy retributivo de forma económica
Se dice retributiva no retributivo
@@gerardoruizjacobson6998 el corrector no fue retributivo😂
@@brayanalbertorojasgallo8042 xD
pero no explico lo mas importante cual version exacta de todas las librerias log4j ? si es del core solamente tienen el problema ? solo repitio lo que se sabia pero no el detalle tecnico
@@corazonencantado6297 Repitio lo que se sabia? hay gente que no conoce estas cosas en primer lugar, ademas desde el inciio esta diciendo que solo es un resumen.....
Y pensar que Minecraft Java también tiene esto, y lo magnífico que fue que en usuario en un servidor anárquico lo usó para advertir a los jugadores que deben actualizar sus clientes para evitar ser vulnerados.
Hace poco sucedio lo mismo. Con una gran mayoria de servidores, uniendolos a todos a un servidor de discord el cual estaban todos locos allí, bastante loco.
ruclips.net/video/Z22O5uEsF6U/видео.html
2b2t
Cuánto que hay para aprender, no terminas nunca, es genial.
True
Verdad
Y el problema no es que uno no actualice seguido, porque en general uno lo hace, de manera automática. El problema es que las empresas como Lenovo y similares NO LO HACEN, no envían la actualización, abandonan varios productos y no mandan actualizaciones o parches de seguridad y ahí es donde viene el verdadero problema para uno como usuario.
En 5 años trabajando en banca con Java, en todo tipo de aplicaciones, y solo pensar en todas las aplicaciones legacy y vendors es imposible de reparar todo.
Hombre, primero me asustas y luego me ofreces tu curso. Excelente táctica, en una semana tomo el curso hahaha
La habilidad de Freddy y del equipo de Platzi para mantenernos informados y a la vez vendernos un curso relacionado con el tema. Mis respetos.
Asqueroso, pura copia de otros sitios de mayor prestigio en ingles. Pero como la mayoria no sabe pues. HETE AQUI.
Jajaj por tu falta de inglés p
Wow por fin! Estaba esperando este video hace días jaja. Llevo días recibiendo casos de este tema en mi trabajo y quería ver que tenía para decirnos Freddy jaja
exito freddy . eres genial la manera como explicas se te entiende sin esfuerzo,
sigo diciendo que es increíble y fascinante, cómo los humanos tenemos que protegernos de otros humanos xd
bueno ahora ya no es protegernos de otros humanos sino también de máquinas hechas por otros humanos para dañar a otros humanos.
en fin la humanidad. 😔
Siempre ha sido así, cuando los humanos empezaron a ser sedentarios no lo hicieron de un día para otro, la transición duró décadas y mientras unos eran sedentarios otros eran nómadas, muchas veces pasaban hambre y frío y cuando encontraban una comunidad sedentaria con comida entraban a saquear (y matar) para sobrevivir, eso obligó a los sedentarios a hacer murallas y quienes las protegieran para defenderse de otros humanos, los primeros militares de la historia.
En fin representación de lo que llaman bella naturaleza, es igual con cualquier ser vivo.
No tiene nada de increíble. Lo contrario también es cierto, hay muchísima bondad.
The Matrix (1999).
@@LuisVPazmino It begins...
También le afectó a log4g , que barbaridad 🤓😜
Que elocuencia para la docencia, madre mía! Todo lo haces fácil de comprender
J en inglés suena Yei y G suena Yi, Yei es parecido a G y suele confundirse pero en realidad es jota, log 4 jota.
En éste caso no se usa "en realidad es" se usa "lo correcto es" porque esta cometiendo un error, no esta hablado de una fantasía o inventando algo, lo correcto es log cuatro jota 😉
@@Mario_Fidel_Castro_Davalos Uff, muy cierto. Estamos acostumbrados a decir 'en realidad' y ahora que lo pienso casi siempre está mal dicho.
Jajaja es jota, Fredy, es JOTA!! no G.
Ja, lo mismo noté y escribí 58 minutos después que Tú.
Interesante. Siempre digo "en realidad"
Ahora aprendí y me asesoré que está mal dicho.🤦
Un shot por cada vez que Freddy dice "sistemas autónomos"
Limón cada vez que dice "cuatro jé"
Gracias por el tutorial para explotar el log4j. Gran comunicador y pedagogo, Fredy!
Oye interesante, ganas de aprender esos cursos, ya lo voy a poner en mi lista de aprendizaje
Hola Freddy ¿Cómo estas? Muy lindo tu video, pero ¿Cómo consigo una campera igual a la tuya? saludotes
Gracias Freddy por traer esta información tan importante... ahora mismo me pongo a compartirlo ... Gracias de nuevo... Un saludo
Después de casi un año vuelvo a GUARDAR un VÍDEO en FAVORITOS, Excelente!
6:56 gracias por la aclaración
excelente video, estupenda explicación , gracias ✌🏻
Gracias por el tutorial freddy! muy atento :)
Excelente información Freddy, gracias!
Excelente !!! Gracias
FREDY, EXCELENTE TU VÍDEO, ME GUSTÓ MUCHÍSIMO !!!
GRACIAS POR COMPARTIR TUS CONOCIMIENTOS. DIOS TE BENDIGA ABUNDANTEMENTE.
Cuando estudiaba en la universidad escuché hablar de alibaba y aliexpress, tiempo después oí sobre amazon como plataforma de compras, me parece curioso que ambos modelos escalaron a servicios cloud, que viene ahora un mercadolibre web services?
No, ellos están sobre AWS y la nube de google
China copia todo lo que hace el mundo xd
@@jututogame1999 xd
Híjole te atrasaste solo que se llama mercado pago ;)
8:53 Esa historia me suena muy similar a los reportes de cómo inició (bajo mucho secreto) la pandemia en China también en noviembre y diciembre de 2019... pero luego vino la catástrofe mundial meses después en 2020. :-/
esto existe desde 2013
@@DavidBarrera1 el virus también se sabia que existía en china en murciélagos desde hace años, no recuerdo si fue en 2009 o 2011 que se comenzó a estudiar un poblado donde la gente tenia síntomas de gripa constantes y se teorizo que podía ser una enfermedad que saltó a los humanos, la investigadora principal resulta que fue de las primeras personas que se sabe manejo el virus en el laboratorio de Wuhan.
No es nada nuevo, asi funciona todo en todo el mundo
No creo que ya que podrían haber sacado la vacuna mucho antes para sacar provecho
Thanos: "Usé las gemas para destruir las gemas"
También Hackers: "Usé Log4j para arreglar Log4j"
Se necesitaba la info del señor cabecicuadrado, Muchas gracias
Más allá de la info muy útil. Me encanta la narrativa!!!!
No entendí la mitad de lo que dijiste mi querido freddy.
Solo entendí que cualquier día me pueden hackear 😱😨
y ese curso entra entre los basicos gratuitos... ejemplo el primer nivel... .o es paso desde el inicio
Justo estaba esperando que Freddy lo explique
Es todo un placer escuchar a Freddy ❤️
Ya no me siento tan mal programador ahora que se que las grandes empresas recurieron a esta libreria sin haberla auditada primeramente
No es que no la auditen, es que es imposible saber todas las posibles vulnerabilidades de un sistema, según Freddy comenta esto existe desde el 2013.
Hasta proyectos open source abiertas a qué todos miren el código tienen vulnerabilidades.
No tiene nada que ver el auditar librerias, esto existe desde hace años, como lo dijo Freddy de ejemplo, si detectaran una vulnerabilidad en el alert de javascript, crees que te echarían la culpa por no auditar javascript? Además, cuantos miles de miles de dólares cuesta auditar (no solo una libreria) cada libreria usada.
@@neociber24 lo grave sería que alguien creara la vulnerabilidad de forma voluntaria para venderla por dinero. la forma mas fácil de que un país hackee a otro puede ser precisamente por este tipo de mecanismos como mandar espías expertos en programación a inyectar las librerías mas usadas y explotar vulnerabilidades, todo hecho con esa intención eso de que fue accidente tiene que ser analizado con cautela pues esta vulnerabilidad no es poca cosa.
@@spartanlegendsesy Suena bien... con librerías cerradas como extjs u dlls o software cerrado o cracks para Windows u office de dudosa procedencia en Internet. En el software libre, dónde se mira lo que el producto hace, es más fácil que lo que encuentre uno es un error como este. También en el software libre es más fácil que la comunidad reporte nuevos problemas y la solución sea más rápida (como en este caso)
Perdon por mi ignorancia pero en que programa se puede ejecutar ese codigo??
¿Alguien sabe si los certificados de platzi especifican el número de horas?
Gracias
pero freddy si uno se arma en protección alfinal el computador estará procesando constantemente y no me dejara (por no decir que no me deja) trabajar olgadamente y ese es un problema porque ya sea la empresas o trabajos universitarios requieren rapidez que se hace en estos casos, esto puede ser un simil para usuarios con un computador de baja gama
Freddy no tengo ni idea de siver seguridad, explicame como me protejo, dicen que slio la vercion 2.17.0 pero no se que es ni como usarlo
En momentos como este me alegro de haber puesto logback y no log4j en los sistemas con que trabajo.
no me queda algo claro que medidas debemos tomar actualizar nuestros sistemas operativos windows, android y los firmware de nuestros reouters?
Muy interesantes usted es el mejor
Perdón, escribí ese comentario borracho anoche, aunque mi opinión del video sigue siendo la misma 👍🏻
15:35, ya he tenido malas experiencias con hackers, la paranoia no es algo que me guste mucho... me trae malos recuerdos
Excelente video! Solo una observación, se escucha un poco de eco de fondo! Saludos
Thanks
Sería bueno agregar algún curso de Criptografía en la ruta de seguridad informática
cuando veo un video de platzi, si aparece freddy se que el final del video sera aterrador!.jeje
buen video! gracias por informar.
El gobierno chino, debería tener una suscripción en platzi...
Cualquiera podría pensar de que esto fue pensado de forma sistemática para extraer datos por parte de organizaciones gubernamentales.
Hay gobiernos (y empresas privadas) que sacaron a Microsoft de sus entornos empresariales porque suponían que Windows enviaba información confidencial de los equipos de cómputo de las organizaciones a empresas estadounidenses... Parte de esto fue cierto. Ahora bien lo que comentas es menos probable: ¿porque? Porque a diferencia de un producto cerrado como Windows, Apache no solo publicó la corrección a log4j sino que puede uno ver el commit exacto y el detalle puntual de la corrección, es más puede uno bajar el código y ver lo que hace al completo la librería. No se necesita ser un Dios de la programación para entender el código (hay un canal de RUclips de colegas argentinos donde está semana platicaron a detalle del commit con la corrección). Esa es una de las razones de la confianza de empresas y gobiernos en el software libre.
En realidad puede que las personas actualicen pero muchísimas empresas grandes usan software de hace mas de 10 años
Freddy actualiza el curso básico de programación
Fredy me gusta en verdad como vendes. Excelente
Tienes la habilidad de explicar las cosas para que se oigan de una manera fantástica. En otras palabras por decirlo así.... Sabías que cualquier puerta que tenga una chapa que utilicé una llave se puede abrir y cualquier persona que tenga una lo puede hacer. No me estoy burlando solo describo el contexto. Pero el vídeo es entretenido cuando no quiero ver más noticias de Civid-19 y no tengo que trabajar 👍
(10:16) 👀 sí eso ocurre con los huecos de seguridad. Qué paso con la 😷?
Ahora entiendo porque a pesar de todos los parches de seguridad que se le meten al servidor de minecraft siempre hayan la forma de sacarse permisos y raidearlo/hackarlo.
Lo unico bueno que, cada que lo intentan es un parche nuevo tapado y menos opciones de poder hackear.
Belga, de Bélgica
Note this flaw ONLY affects applications which are specifically configured to use JMSAppender, which is not the default, or when the attacker has write access to the Log4j configuration for adding JMSAppender to the attacker's JMS Broker.
The tomcat package shipped with Red Hat Enterprise Linux does not include log4j but it does include a default configuration for log4j, log4j.properties, which could be used with tomcat if users choose to install and configure the library. The JMSAppender is not enabled by default, and the permissions of the file can only be modified as root.
Ok, y por qué en inglés?
@@athanathor lo copié como aparece en el portal de RedHat con respecto a la vulnerabilidad y su servidor de aplicaciones JBoss EAP o WildFly
yo también confundo la J y la G en ocasiones... bueno, no en tantas ocasiones como Freddy pero casi...
Freddy dice que JNDI es un protocolo pero JNDI no es un protocolo, justamente cómo lo indica su nombre, es una interfaz. Una interfaz permite la comunicación entre elementos de distintas capas, el concepto es super entendible si se estudia el modelo OSI.
El LDAP (Lightweight Directory Access Protocol) si es un protocolo y se utiliza para entre otras cosas encontrar objetos dentro de bases de datos. Nada solo eso, gracias!
El modelo OSI no es un a estandarización del Internet que en la practica no se usa?
Por favor esroy perdido e ignoro algo..
Pero si decían que Java ya estaba muerto, al parecer muchas aplicaciones importantes están hechas en Java. Es extraño que en las encuestas que nos presentan siempre este leguaje es poco utilizado.
Java no estaba muerto andaba de parranda
java nunca murio ni va a morir creo, lo que tenia era una pelea con oracle pero nada mas
XD Java muerto que gracioso XD
Está más vivo que nunca el ogt
esta pobre anda programa en python special
Menos mal estamos salvados. Uffff! Que susto!!! Ya que el error es Log4g y no Log4j. Gracias Freddy!! Eres el mejor. Ejejje!!😁👍😉
Esta librería tiene código privativo o libre?
Y la informática Quantica no puede solucionar esto?? Saludos cordiales desde Misiones, Argentina 🇦🇷
Log cuatro "JOTA", no "ge" 😉
Un shot por cada vez que Freddy dice log-4-g 😆
Jajaj estaba buscando este comentario
Entré a los comentarios solo buscando esto :)
Si no existía este comentario lo ponía yo jajaja
seguramente es una prueba para saber si estamos aprendiendo el inglés correctamente. saludos Freddy
Estoy pedísimo de tanto shot
Los gestores de contraseñas siguen siendo seguros?
Qué se hace cómo usuario promedio de internet?
Agradezco a Platzi por estas noticias. Donde puedo mantenerme actulizado siempre de esto?
Ya es un poco tarde, hace dos semanas que salió la vulnerabilidad.
@platzi no pusieron los links de las herramientas para detectar el log4j
En un curso de Platzi, mencionan que no debemos usar ese tipo de imágenes con marca de agua del minuto 1:35!
¿El de horatoria? :0
El banco bcp trabaja con java al parecer, que cosas no?
Por cierto hay otro canal donde se muestra de forma puntual como reproducir el problema generando un directorio temporal en una máquina atacada usando máquinas virtuales con Kali Linux (atacante) y Ubuntu (atacada).
Tienes el dato del canal/vídeo?
@@mariogomezarr si amigo acá lo tienes en perfecto español: ruclips.net/video/qMHeil1ekCk/видео.html
Java o javascrip? O los dos?
Es conveniente aprender python o algún otro lenguaje? Creen que Java podría dejar de usarse en unos 5 años?
No por que su libreria tuviera un hueco de seguridad quiere decir que se va dejar de usa java bro, pero si quieres aprender python esta bien, es muy bueno :D
Creo que tanto Phyton como Java ya son muy robustos y se quedarán con nosotros, como dice Freddy casi todo aparato tiene Java, y siempre se contratan huecos en cualquier sistema ya que nada es perfecto, solo hay que mantenerse informado y siempre estar actualizando todo
Holaaa Freddy
Fredy y comunidad platzi ¿podrían hablar de Sand, de sandbox?
guau, está genial...
grande freddy todos hablaban deesto pero nadie explicaba como funcionaba
Hoy me suscribí
Cuando dijo "y como tú ya tienes una suscripción a Platzi...-" me asusté por un segundo, porque ayer la compré xd
En plazi hay cursos para aprender ortografia, hasta de pedicure,
Pedicure?
Eres bueno
Me sorprende como la política alcanza lugares tan abstractos como la programación, pero mas me sorprende las pocas agallas como para querer explotar algo tan importante y vital para el mundo entero
Ya decia yo, donde estaba el video de Platzi hablando del tema?
Pero que debe de tener
Me hubiera encantado que este fuera el platzi live de la semana anterior jajjajJa no saben comp batalle con esa vulnerabilidad xd
Este video no es Para todos, muy tecnico
Moraleja aprendamos Java para conseguir más trabajo
Es una gran ventaja vivir en latinoamerica, NO TANTO POR ACTUALIZAR LOS APARATOS!! si NO porque NO tenemos aparatos!! jajaja
Que pereza las personas como usted que a toda hora menosprecia su lugar donde vive, su celular dónde está escribiendo esta estupidez, el módem , las antenas de telefonía, televisores, etc, etc , estudie más bien
Porfavor saquenme de una duda ¿eso quiere decir que sería fatal si empiezo a crear una aplicación en Java? ¿Mi aplicación se verá afectada de alguna u otra forma?
No si la perchas, y la creas con el hueco de seguridad solventado
Log4J es solo una librería de logs, usa otra librería como por ejemplo logback. Eso es todo.
logback y listo. Cómo un ejemplo
Siento que aunque sí, es un problema gigante y que está en la versión 2 de log4j, depende también como este protegido a nivel de infraestructura nuestro servidor, como este configurado el firewall, si accedes a través de una VPN entonces también son redes e IP privadas, etc. Entonces soluciones como las que dices Freddy de parchar la librería, es una de las más rápidas y adecuadas para salir de este problema rápido. Pero alguien con la capacidad para crear robots que ejecuten algoritmos altamente complejos en busca de información, pues atacará a empresas grandes, o entidades gubernamentales, creo que del 100% realmente un 2% está en peligro, los demás pueden estar más tranquilos.
Hace poco a un amigo le llegó un pago por 700 dólares desde su tarjeda de débito por supuestos servicios de AWS, no sé si tenga que ver con este tema pero tiene algo de sentido
Finalmente, Freddy Freeman
Porque dice "Log 4 G" ??
No se puede minar en servicios cloud 😐
Es una biblioteca, la traducción a librería es incorrecta
min 6:56 pensé que se le había salido lo chino luego de fusionarse con un mexicano jajaj, freddy the best profesor of platzi
Despues de ver multiples videos en diferentes idiomas y fuentes tratando de entender que es log4j y no entender nada, vi tu video y tengo que decir que eres un genio me encanta como lo explicas en español, no en chino hahaha. Muchas gracias hermano.
Se pueden sacar contraseñas de admin de un router? 🤓