LOL i to sie nazywa 0-day :D nie sadzilem, ze jest to az tak niebezpieczne. Myslalem, ze to tylko potrafi zew. adresy odpytywac, a nie rowniez je uruchamiac. Matkobosko, to droga do ransoma, czy jakiegos syfu kradnacego poufne dane otwarta niczym wrota od stodoly :D
Bardzo fajny kanał, niektóre filmy np. o phreakingu przypomniały stare dobre ziny czytane po nocach i takie legendy jak lcamtuf. Co do sposobów na zapobieganie podobnym incydentom, to warto w swój pipeline CI wpleść jakiś skaner słabych punktów w zależnościach, np. Snyk.
Sam materiał bardzo wyczerpujący, co więcej wytłumaczony w łopatologiczny sposób, ale bez schodzenia do dodatlnego parteru, podziwiam Twoje wyważnie ;)
Jak zwykle po prostu TOP :) Świetnie się słucha, nawet jeżeli nie mój dokładnie temat, ale przejście od ogółu do szczegółu daje możliwość ogarnięcia nawet średnio-wtjaemniczonej osobie sytuacji :)
Trudno sobie wyobrazić, że kod pozwalający na pobranie i uruchomienie dowolnego pliku z internetu pojawił się tam przez przypadek. W takim razie nie nazywał bym go żadną podatnością, czy błędem. To typowy backdoor podłożony przez służby Chin, Izraela, USA? Trzeba by prześledzić kto i kiedy go tam wstawił i jak go wtedy opisał.
Hej, mam sugestię dotyczącą linków - czy mógłbyś je numerować (na slajdzie dodać numer linku), aby łatwiej było odnaleźć je na Twojej stronie? Niestety tam nie są w kolejności. Pozdrawiam i dziękuję za wysokiej jakości materiały. Śledzę Cię od prawie 2 lat ;)
Czy cała biblioteka log4j jest podatna? Ponieważ log4j to nie tylko log4-core ale również log4j-api lub log4j-to-slf4j. I tutaj trochę już nie rozumiem, bo na ekrane 17:22 jest pokazana log4j-core oraz log4j-api jako podatne w wersjach starszych niż 2.16, a na ekranie 18:56, widze tylko log4j-core. Czyli trzeba łatać wszsytkie moduły log4j czy tylko log4j-core? sam znalazłem w internecie coś takiego, gdzie piszą: The log4j-to-slf4j and log4j-api jars that we include in spring-boot-starter-logging cannot be exploited on their own. Only applications using log4j-core and including user input in log messages are vulnerable. I jeśli powyższe jest prawdą, czyli tylko log4j-core to nie rozumiem tego ekranu z 17:22, gdzie również log4j-api jest wskazany jako podatny na atak.
Bardzo dobre pytanie. Porównałem źródła log4j-api z wersji apache-log4j-2.15.0 oraz apache-log4j-2.16.0. Jedyna różnica to zmiana numeru w pliku pom.xml. Dodatkowo na stronie Apache widnieje notka: "Note that only the log4j-core JAR file is impacted by this vulnerability. Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability.". Wydaje mi się więc, że GitHub błędnie oznaczył log4j-api w screenie w 17:22. Ale na 100% pewny nie jestem. Nie chce nikogo wprowadzić w błąd ;)
Czy nie wrzucałbyś swoich materiałów również na Odysee? Pozwalają na łatwą synchronizację z kontem RUclips, więc z tego co wiem, automatycznie zaimportowałoby tam wszystkie Twoje filmy, choć mogę się mylić, bo nie jestem tam twórcą. Z tego co widzę to około 20% widowni kanałów technologicznych na YT jest również na Odysee, więc zakładam, że tyleż samo Twojej widownii by się tam znalazło. Nie jest to wiele i nie zwiększa zasięgu, ale pomaga takim ludziom jak ja uniezależnić się od scentralizowanych serwisów internetowych. Wielu twórców informujących o technologii tworzy na YT, aby dojść do jak największego grona odbiorców, a z Odysee korzysta, żeby nie być zależnym od cenzury YT (co raczej Ciebie nie dotyczy). Mimo wszystko, byłoby miło, gdybyś wziął pod uwagę tą synchronizację z Odysee :)
Jeśli to możliwe, to dobrze byłoby opisać jeszcze podatności w telefonach i dlaczego Pegasus tak łatwo może zainfekować dowolny (?!) telefon komórkowy. Wynika z tego, że system telefoniii komórkowej jest dziurawy jak sito, a operatorzy / dostawcy systemów na telefon tego nie łatają, by dostawcy pegasusa mogli zarabiać?
Z jakiego powodu w bibliotece w ogóle znalazł się mechanizm pobierający i wykonujący zdalny kod? Tj jakie jest jego pierwotne zastosowanie? Bo z samego opisu brzmi to jak celowo umieszczony backdoor :D
Ta funkcja była używana w innym celu. Dopiero po jakimś czasie, ktoś zauważył, że można połączyć kilka elementów razem i wykorzystać je w złośliwym celu.
@@KacperSzurek Istnieją następujące możliwości: Autor tej funkcji był mentalnie krótkowzroczny albo świadomie działał z premedytacją wiedząc o potencjalnym zagrożeniu.
Czy trudno byłoby zmodyfikować Log4j aby wyłączać podatne moduły w celu poprawy bezpieczeństwa dla Release builds? Mniej furtek, mniej problemów. Słabo to wygląda, że zwykły logger, który ma dostarczyć trochę przydatnych informacji programistom lecz nie pełni żadnej kluczowej funkcji w aplikacji jest tak dziurawy w bezpieczeństwie.
Problem w tym, że do momentu znalezienia błędu nie wiesz, które moduły są bezpieczne a które nie. Z punktu widzenia administratora systemu - zmiana flagi, aby wyłączyć podatny moduł - czy też aktualizacja, to zbliżone czasowo operacje.
Bardzo ciekawe odcinki, w celu zwiekszenia sukcesu kanalu, mam propozycje i osmiele.sie zasugerowac aby to co opowiada sie w 45minut opowiedziec w 15-20m... serdecznie.pozdrawiam. M
Pewną trudnością jest zidentyfikowanie miejsc, w których korzysta się z podatnej biblioteki. Bo Twój kod może z niej nie korzystać, ale kod innej osoby - używany w Twoim projekcie - już może to robić.
Mógłbyś zaktualizować swoją wiedzę prawniczą w temacie. Niezamówione pentesty, zgodnie z art. 269c. KK są całkowicie legalne, jeżeli nie wyrządzając szkody, działasz w celu zabezpieczenia systemu informatycznego oraz niezwłocznie powiadomisz zainteresowanego o znalezionych podatnościach.
Zauważ, że mówię: "Pamiętaj, że wykonywanie nieautoryzowanych testów penetracyjnych może być przestępstwem." Może a nie, że zawsze musi ;) Drobna różnica. Osobiście wychodzę jednak z założenia, że lepiej testować tam gdzie nie ma żadnego, prawnego ryzyka. Jest tyle programów bug bounty/ctfów/projektów open source, że przeprowadzanie niezamówionych pentestów - to moim zdaniem - proszenie się o kłopoty.
Bardzo fajnie wytłumaczone, dzięki za poświęcony czas 😀
No witam witam
kiedy e8400
@@опетар serio?
@@Laptopowo tak
@@опетар ok
jak z rtx 4090 to ok
ale inaczej to słabo
Myślę, że dobrym pomysłem byłoby dodawanie numery CVE w tytule filmów. Może wtedy więcej trafi na ten filmik :)
Autor dał serduszko, ale tytułu nie zmienił. XD
@@mariobrother8629 To prośba NIE rozkaz 🎈✂
Dziękuję Kacprze za świetną robotę. Dużo wiedzy, czas na naukę. Dziękuję że robisz to co robisz, bo bez Ciebie byłoby ciężko. Masz u mnie piwo! ;-)
Ten kanał to jedno z lepszych odkryć tego roku!
LOL i to sie nazywa 0-day :D
nie sadzilem, ze jest to az tak niebezpieczne. Myslalem, ze to tylko potrafi zew. adresy odpytywac, a nie rowniez je uruchamiac. Matkobosko, to droga do ransoma, czy jakiegos syfu kradnacego poufne dane otwarta niczym wrota od stodoly :D
Bardzo fajny kanał, niektóre filmy np. o phreakingu przypomniały stare dobre ziny czytane po nocach i takie legendy jak lcamtuf. Co do sposobów na zapobieganie podobnym incydentom, to warto w swój pipeline CI wpleść jakiś skaner słabych punktów w zależnościach, np. Snyk.
Sam materiał bardzo wyczerpujący, co więcej wytłumaczony w łopatologiczny sposób, ale bez schodzenia do dodatlnego parteru, podziwiam Twoje wyważnie ;)
Jak zwykle po prostu TOP :) Świetnie się słucha, nawet jeżeli nie mój dokładnie temat, ale przejście od ogółu do szczegółu daje możliwość ogarnięcia nawet średnio-wtjaemniczonej osobie sytuacji :)
jak zawsze swietne wytlumaczenie!
Trudno sobie wyobrazić, że kod pozwalający na pobranie i uruchomienie dowolnego pliku z internetu pojawił się tam przez przypadek. W takim razie nie nazywał bym go żadną podatnością, czy błędem. To typowy backdoor podłożony przez służby Chin, Izraela, USA? Trzeba by prześledzić kto i kiedy go tam wstawił i jak go wtedy opisał.
Świetle tłumaczenie dzięki!
Hej, mam sugestię dotyczącą linków - czy mógłbyś je numerować (na slajdzie dodać numer linku), aby łatwiej było odnaleźć je na Twojej stronie? Niestety tam nie są w kolejności. Pozdrawiam i dziękuję za wysokiej jakości materiały. Śledzę Cię od prawie 2 lat ;)
Najlepiej to cofnijmy się do średniowiecza będzie BEZPIECZNIEJ! 😁😁😁
Bardzo polecam Spring Boota
Kolejny, fajny wideoblog, którego autor robi coś dziwacznego ze swoim głosem. Fatalnie tego słucha. Dykcja jak wokalizy Edyty Górniak
Fajny merytoryczny kanał ! czekam na coś o Androidzie
Świetne materiały
Czy cała biblioteka log4j jest podatna? Ponieważ log4j to nie tylko log4-core ale również log4j-api lub log4j-to-slf4j. I tutaj trochę już nie rozumiem, bo na ekrane 17:22 jest pokazana log4j-core oraz log4j-api jako podatne w wersjach starszych niż 2.16, a na ekranie 18:56, widze tylko log4j-core. Czyli trzeba łatać wszsytkie moduły log4j czy tylko log4j-core? sam znalazłem w internecie coś takiego, gdzie piszą: The log4j-to-slf4j and log4j-api jars that we include in spring-boot-starter-logging cannot be exploited on their own. Only applications using log4j-core and including user input in log messages are vulnerable. I jeśli powyższe jest prawdą, czyli tylko log4j-core to nie rozumiem tego ekranu z 17:22, gdzie również log4j-api jest wskazany jako podatny na atak.
Bardzo dobre pytanie. Porównałem źródła log4j-api z wersji apache-log4j-2.15.0 oraz apache-log4j-2.16.0.
Jedyna różnica to zmiana numeru w pliku pom.xml.
Dodatkowo na stronie Apache widnieje notka: "Note that only the log4j-core JAR file is impacted by this vulnerability. Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability.".
Wydaje mi się więc, że GitHub błędnie oznaczył log4j-api w screenie w 17:22.
Ale na 100% pewny nie jestem. Nie chce nikogo wprowadzić w błąd ;)
Kacper zawsze top 🔥
Czy nie wrzucałbyś swoich materiałów również na Odysee? Pozwalają na łatwą synchronizację z kontem RUclips, więc z tego co wiem, automatycznie zaimportowałoby tam wszystkie Twoje filmy, choć mogę się mylić, bo nie jestem tam twórcą. Z tego co widzę to około 20% widowni kanałów technologicznych na YT jest również na Odysee, więc zakładam, że tyleż samo Twojej widownii by się tam znalazło. Nie jest to wiele i nie zwiększa zasięgu, ale pomaga takim ludziom jak ja uniezależnić się od scentralizowanych serwisów internetowych. Wielu twórców informujących o technologii tworzy na YT, aby dojść do jak największego grona odbiorców, a z Odysee korzysta, żeby nie być zależnym od cenzury YT (co raczej Ciebie nie dotyczy). Mimo wszystko, byłoby miło, gdybyś wziął pod uwagę tą synchronizację z Odysee :)
Temat do przemyślenia - dzięki za propozycje.
Piekny pomysł
Świetny film!
Super! Bardzo dobry mayeriał.
Dziękuję I pozdrawiam
Niewiem wogóle o co tu chodzi ale nawet ciekawe
Jeśli to możliwe, to dobrze byłoby opisać jeszcze podatności w telefonach i dlaczego Pegasus tak łatwo może zainfekować dowolny (?!) telefon komórkowy. Wynika z tego, że system telefoniii komórkowej jest dziurawy jak sito, a operatorzy / dostawcy systemów na telefon tego nie łatają, by dostawcy pegasusa mogli zarabiać?
Dobra robota jak zawszę ;)
Jakby to powiedział wiedźmin: "Zło to zło. Większe, mniejsze, Java."
Piękny odcinek, pozdro
Dziękuję. :)
Bardzo dobry odcinek
Dzięki za materiał! PS. Na jakim mikrofonie nagrywasz? Dźwięk jest MEGA!
Shure sm7b
@@KacperSzurek tam myślałem. Słychać jakość. Dzięki i powodzenia.
Z jakiego powodu w bibliotece w ogóle znalazł się mechanizm pobierający i wykonujący zdalny kod? Tj jakie jest jego pierwotne zastosowanie? Bo z samego opisu brzmi to jak celowo umieszczony backdoor :D
Ta funkcja była używana w innym celu. Dopiero po jakimś czasie, ktoś zauważył, że można połączyć kilka elementów razem i wykorzystać je w złośliwym celu.
@@KacperSzurek Istnieją następujące możliwości:
Autor tej funkcji był mentalnie krótkowzroczny albo świadomie działał z premedytacją wiedząc o potencjalnym zagrożeniu.
Super materiał :)
Biblioteka, która z założenia ma zapisywać logi, uruchamia zdalnie komendy? Nie jest to coś, co powstaje przypadkiem wg mnie.
Nie wiem o co chodzi 👁🏴☠️👁 Dżgamy dalej.. 🛬🕊
Ja myślałem, że to się czyta LOGAJ xD
Czy trudno byłoby zmodyfikować Log4j aby wyłączać podatne moduły w celu poprawy bezpieczeństwa dla Release builds? Mniej furtek, mniej problemów. Słabo to wygląda, że zwykły logger, który ma dostarczyć trochę przydatnych informacji programistom lecz nie pełni żadnej kluczowej funkcji w aplikacji jest tak dziurawy w bezpieczeństwie.
Problem w tym, że do momentu znalezienia błędu nie wiesz, które moduły są bezpieczne a które nie.
Z punktu widzenia administratora systemu - zmiana flagi, aby wyłączyć podatny moduł - czy też aktualizacja, to zbliżone czasowo operacje.
Bardzo ciekawe odcinki, w celu zwiekszenia sukcesu kanalu, mam propozycje i osmiele.sie zasugerowac aby to co opowiada sie w 45minut opowiedziec w 15-20m... serdecznie.pozdrawiam. M
Skąd Pan to wszystko wie?
Czytam, oglądam, uczę się ;)
....z wykopalisk ;)))0
W robocie log4j, w wolnym czasie log4j, w nocy mam sny o log4j. A cały rok był spokój 😬😂
Czemu programiści mają tyle pracy z tą aktualizacją? Nie wystarczy wejść we właściwości projektu, podbić wersję biblioteki i już?
Pewną trudnością jest zidentyfikowanie miejsc, w których korzysta się z podatnej biblioteki. Bo Twój kod może z niej nie korzystać, ale kod innej osoby - używany w Twoim projekcie - już może to robić.
leci sub
Cały tydzień updates za mną :)
Jaka przeglądarka dba o prywatność?
.NET posiada swój odpowiednik log4j o nazwie log4net. Czy ta biblioteka również jest podatna na ten atak?
Nie jest
Nie jest podatna na ten atak.
Już mam wątpliwości które wirusy są bardziej rozwojowe. W branży IT czy branży MZ?
0micron w bibliotece Log4j-C19
To nie błąd. To backdoor... Pytanie: ktoś celowo to zrobił?
Jak tam praca w najlepszym antywirusie w firmie Eset
Mógłbyś zaktualizować swoją wiedzę prawniczą w temacie. Niezamówione pentesty, zgodnie z art. 269c. KK są całkowicie legalne, jeżeli nie wyrządzając szkody, działasz w celu zabezpieczenia systemu informatycznego oraz niezwłocznie powiadomisz zainteresowanego o znalezionych podatnościach.
Zauważ, że mówię: "Pamiętaj, że wykonywanie nieautoryzowanych testów penetracyjnych może być przestępstwem." Może a nie, że zawsze musi ;) Drobna różnica.
Osobiście wychodzę jednak z założenia, że lepiej testować tam gdzie nie ma żadnego, prawnego ryzyka.
Jest tyle programów bug bounty/ctfów/projektów open source, że przeprowadzanie niezamówionych pentestów - to moim zdaniem - proszenie się o kłopoty.
Ktoś by mógł mi pomóc z de serializacją obiektu dla java 17? Robię wszystko według instrukcji i coś mi nie działa :(
Ludzie którzy używają Javy zamiast C# sami są sobie winni. Co za język wykonuje standardowo kod z ciągu string
👌👌👀
4:26 Współczuję oczom D:
moj kot jest bardzo podatny na szynke
Hah mój też
Podatna jest między innymi Ghidra?
Tak
A co z minecraftem. Który jest bezpieczny od tego?
Serwery Minecrafta są podatne. Najlepiej zaktualizować je do wersji 1.18.1.
Ojejku ...kolejne odcinki o algorytmach YT. ciągłe sypią że przekroczone wytyczne dla ....
kuzwa dwa dni spedzilem servery zamykajac...
Hakujemy serwery minecraft? XD
Nieco ponad tydzień później film o tym błędzie robi LiveOverflow
I wiele innych osób. Tak to już jest z popularnymi tematami :)
o jejku ..24 463 wyświetlenia16 gru 2021. odczuwam atak wirusa o tajemniczej dawce 1, 2, 3 - aktualizacja/ c19
Świetne zimowe opony w jednej z migawek. Co to za marka?
Oceniasz opony po tym jak wyglądają?! XD
@@laufer941 Po grubości bieżnika 🙂
@@laufer941 no pewnie. A czy ty, kiedy kupujesz dajmy na to karkówkę, patrzysz na skład chemiczny? Im coś ładniejsze, tym lepsze :D
@@Waldo_Ilowiecki Ta, a potem okazuje się że psuć się zaczęła i wymoczyli w chemii żeby zatrzymać proces psucia.
Ktoś miał fantazje żeby w libce logger-a pobierać jakiś zasób zewnątrz i go uruchamiać.
Przeczytałem logaj i już kliknąłem esc
why did this get recommended to me
33 533 wyświetlenia/20-12/2021
w korporacjach sraczka... wszyscy szukają systemów używających Log4j ;-)
protonmail +1
znakomite
igrek es o serial.
Kacprze!
To tak jakbyś tłumaczył komuś mema
Y U NO cośtam jako
igrek u nie cośtam.
świetny materiał!