Bardzo fajny kanał, niektóre filmy np. o phreakingu przypomniały stare dobre ziny czytane po nocach i takie legendy jak lcamtuf. Co do sposobów na zapobieganie podobnym incydentom, to warto w swój pipeline CI wpleść jakiś skaner słabych punktów w zależnościach, np. Snyk.
Sam materiał bardzo wyczerpujący, co więcej wytłumaczony w łopatologiczny sposób, ale bez schodzenia do dodatlnego parteru, podziwiam Twoje wyważnie ;)
Jak zwykle po prostu TOP :) Świetnie się słucha, nawet jeżeli nie mój dokładnie temat, ale przejście od ogółu do szczegółu daje możliwość ogarnięcia nawet średnio-wtjaemniczonej osobie sytuacji :)
LOL i to sie nazywa 0-day :D nie sadzilem, ze jest to az tak niebezpieczne. Myslalem, ze to tylko potrafi zew. adresy odpytywac, a nie rowniez je uruchamiac. Matkobosko, to droga do ransoma, czy jakiegos syfu kradnacego poufne dane otwarta niczym wrota od stodoly :D
Czy cała biblioteka log4j jest podatna? Ponieważ log4j to nie tylko log4-core ale również log4j-api lub log4j-to-slf4j. I tutaj trochę już nie rozumiem, bo na ekrane 17:22 jest pokazana log4j-core oraz log4j-api jako podatne w wersjach starszych niż 2.16, a na ekranie 18:56, widze tylko log4j-core. Czyli trzeba łatać wszsytkie moduły log4j czy tylko log4j-core? sam znalazłem w internecie coś takiego, gdzie piszą: The log4j-to-slf4j and log4j-api jars that we include in spring-boot-starter-logging cannot be exploited on their own. Only applications using log4j-core and including user input in log messages are vulnerable. I jeśli powyższe jest prawdą, czyli tylko log4j-core to nie rozumiem tego ekranu z 17:22, gdzie również log4j-api jest wskazany jako podatny na atak.
Bardzo dobre pytanie. Porównałem źródła log4j-api z wersji apache-log4j-2.15.0 oraz apache-log4j-2.16.0. Jedyna różnica to zmiana numeru w pliku pom.xml. Dodatkowo na stronie Apache widnieje notka: "Note that only the log4j-core JAR file is impacted by this vulnerability. Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability.". Wydaje mi się więc, że GitHub błędnie oznaczył log4j-api w screenie w 17:22. Ale na 100% pewny nie jestem. Nie chce nikogo wprowadzić w błąd ;)
Trudno sobie wyobrazić, że kod pozwalający na pobranie i uruchomienie dowolnego pliku z internetu pojawił się tam przez przypadek. W takim razie nie nazywał bym go żadną podatnością, czy błędem. To typowy backdoor podłożony przez służby Chin, Izraela, USA? Trzeba by prześledzić kto i kiedy go tam wstawił i jak go wtedy opisał.
Jeśli to możliwe, to dobrze byłoby opisać jeszcze podatności w telefonach i dlaczego Pegasus tak łatwo może zainfekować dowolny (?!) telefon komórkowy. Wynika z tego, że system telefoniii komórkowej jest dziurawy jak sito, a operatorzy / dostawcy systemów na telefon tego nie łatają, by dostawcy pegasusa mogli zarabiać?
Bardzo ciekawe odcinki, w celu zwiekszenia sukcesu kanalu, mam propozycje i osmiele.sie zasugerowac aby to co opowiada sie w 45minut opowiedziec w 15-20m... serdecznie.pozdrawiam. M
Z jakiego powodu w bibliotece w ogóle znalazł się mechanizm pobierający i wykonujący zdalny kod? Tj jakie jest jego pierwotne zastosowanie? Bo z samego opisu brzmi to jak celowo umieszczony backdoor :D
Ta funkcja była używana w innym celu. Dopiero po jakimś czasie, ktoś zauważył, że można połączyć kilka elementów razem i wykorzystać je w złośliwym celu.
@@KacperSzurek Istnieją następujące możliwości: Autor tej funkcji był mentalnie krótkowzroczny albo świadomie działał z premedytacją wiedząc o potencjalnym zagrożeniu.
Hej, mam sugestię dotyczącą linków - czy mógłbyś je numerować (na slajdzie dodać numer linku), aby łatwiej było odnaleźć je na Twojej stronie? Niestety tam nie są w kolejności. Pozdrawiam i dziękuję za wysokiej jakości materiały. Śledzę Cię od prawie 2 lat ;)
Czy trudno byłoby zmodyfikować Log4j aby wyłączać podatne moduły w celu poprawy bezpieczeństwa dla Release builds? Mniej furtek, mniej problemów. Słabo to wygląda, że zwykły logger, który ma dostarczyć trochę przydatnych informacji programistom lecz nie pełni żadnej kluczowej funkcji w aplikacji jest tak dziurawy w bezpieczeństwie.
Problem w tym, że do momentu znalezienia błędu nie wiesz, które moduły są bezpieczne a które nie. Z punktu widzenia administratora systemu - zmiana flagi, aby wyłączyć podatny moduł - czy też aktualizacja, to zbliżone czasowo operacje.
Czy nie wrzucałbyś swoich materiałów również na Odysee? Pozwalają na łatwą synchronizację z kontem RUclips, więc z tego co wiem, automatycznie zaimportowałoby tam wszystkie Twoje filmy, choć mogę się mylić, bo nie jestem tam twórcą. Z tego co widzę to około 20% widowni kanałów technologicznych na YT jest również na Odysee, więc zakładam, że tyleż samo Twojej widownii by się tam znalazło. Nie jest to wiele i nie zwiększa zasięgu, ale pomaga takim ludziom jak ja uniezależnić się od scentralizowanych serwisów internetowych. Wielu twórców informujących o technologii tworzy na YT, aby dojść do jak największego grona odbiorców, a z Odysee korzysta, żeby nie być zależnym od cenzury YT (co raczej Ciebie nie dotyczy). Mimo wszystko, byłoby miło, gdybyś wziął pod uwagę tą synchronizację z Odysee :)
Mógłbyś zaktualizować swoją wiedzę prawniczą w temacie. Niezamówione pentesty, zgodnie z art. 269c. KK są całkowicie legalne, jeżeli nie wyrządzając szkody, działasz w celu zabezpieczenia systemu informatycznego oraz niezwłocznie powiadomisz zainteresowanego o znalezionych podatnościach.
Zauważ, że mówię: "Pamiętaj, że wykonywanie nieautoryzowanych testów penetracyjnych może być przestępstwem." Może a nie, że zawsze musi ;) Drobna różnica. Osobiście wychodzę jednak z założenia, że lepiej testować tam gdzie nie ma żadnego, prawnego ryzyka. Jest tyle programów bug bounty/ctfów/projektów open source, że przeprowadzanie niezamówionych pentestów - to moim zdaniem - proszenie się o kłopoty.
Pewną trudnością jest zidentyfikowanie miejsc, w których korzysta się z podatnej biblioteki. Bo Twój kod może z niej nie korzystać, ale kod innej osoby - używany w Twoim projekcie - już może to robić.
Bardzo fajnie wytłumaczone, dzięki za poświęcony czas 😀
No witam witam
kiedy e8400
@@𤙵 serio?
@@Laptopowo tak
@@𤙵 ok
jak z rtx 4090 to ok
ale inaczej to słabo
Dziękuję Kacprze za świetną robotę. Dużo wiedzy, czas na naukę. Dziękuję że robisz to co robisz, bo bez Ciebie byłoby ciężko. Masz u mnie piwo! ;-)
Myślę, że dobrym pomysłem byłoby dodawanie numery CVE w tytule filmów. Może wtedy więcej trafi na ten filmik :)
Autor dał serduszko, ale tytułu nie zmienił. XD
@@mariobrother8629 To prośba NIE rozkaz 🎈✂
Ten kanał to jedno z lepszych odkryć tego roku!
Bardzo fajny kanał, niektóre filmy np. o phreakingu przypomniały stare dobre ziny czytane po nocach i takie legendy jak lcamtuf. Co do sposobów na zapobieganie podobnym incydentom, to warto w swój pipeline CI wpleść jakiś skaner słabych punktów w zależnościach, np. Snyk.
jak zawsze swietne wytlumaczenie!
Świetle tłumaczenie dzięki!
Sam materiał bardzo wyczerpujący, co więcej wytłumaczony w łopatologiczny sposób, ale bez schodzenia do dodatlnego parteru, podziwiam Twoje wyważnie ;)
Jak zwykle po prostu TOP :) Świetnie się słucha, nawet jeżeli nie mój dokładnie temat, ale przejście od ogółu do szczegółu daje możliwość ogarnięcia nawet średnio-wtjaemniczonej osobie sytuacji :)
Świetne materiały
Bardzo polecam Spring Boota
Dziękuję I pozdrawiam
Dziękuję. :)
Świetny film!
Super! Bardzo dobry mayeriał.
LOL i to sie nazywa 0-day :D
nie sadzilem, ze jest to az tak niebezpieczne. Myslalem, ze to tylko potrafi zew. adresy odpytywac, a nie rowniez je uruchamiac. Matkobosko, to droga do ransoma, czy jakiegos syfu kradnacego poufne dane otwarta niczym wrota od stodoly :D
Dobra robota jak zawszę ;)
Kacper zawsze top 🔥
Piękny odcinek, pozdro
Czy cała biblioteka log4j jest podatna? Ponieważ log4j to nie tylko log4-core ale również log4j-api lub log4j-to-slf4j. I tutaj trochę już nie rozumiem, bo na ekrane 17:22 jest pokazana log4j-core oraz log4j-api jako podatne w wersjach starszych niż 2.16, a na ekranie 18:56, widze tylko log4j-core. Czyli trzeba łatać wszsytkie moduły log4j czy tylko log4j-core? sam znalazłem w internecie coś takiego, gdzie piszą: The log4j-to-slf4j and log4j-api jars that we include in spring-boot-starter-logging cannot be exploited on their own. Only applications using log4j-core and including user input in log messages are vulnerable. I jeśli powyższe jest prawdą, czyli tylko log4j-core to nie rozumiem tego ekranu z 17:22, gdzie również log4j-api jest wskazany jako podatny na atak.
Bardzo dobre pytanie. Porównałem źródła log4j-api z wersji apache-log4j-2.15.0 oraz apache-log4j-2.16.0.
Jedyna różnica to zmiana numeru w pliku pom.xml.
Dodatkowo na stronie Apache widnieje notka: "Note that only the log4j-core JAR file is impacted by this vulnerability. Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability.".
Wydaje mi się więc, że GitHub błędnie oznaczył log4j-api w screenie w 17:22.
Ale na 100% pewny nie jestem. Nie chce nikogo wprowadzić w błąd ;)
Bardzo dobry odcinek
Trudno sobie wyobrazić, że kod pozwalający na pobranie i uruchomienie dowolnego pliku z internetu pojawił się tam przez przypadek. W takim razie nie nazywał bym go żadną podatnością, czy błędem. To typowy backdoor podłożony przez służby Chin, Izraela, USA? Trzeba by prześledzić kto i kiedy go tam wstawił i jak go wtedy opisał.
Super materiał :)
Fajny merytoryczny kanał ! czekam na coś o Androidzie
leci sub
Jaka przeglądarka dba o prywatność?
Skąd Pan to wszystko wie?
Czytam, oglądam, uczę się ;)
....z wykopalisk ;)))0
Jeśli to możliwe, to dobrze byłoby opisać jeszcze podatności w telefonach i dlaczego Pegasus tak łatwo może zainfekować dowolny (?!) telefon komórkowy. Wynika z tego, że system telefoniii komórkowej jest dziurawy jak sito, a operatorzy / dostawcy systemów na telefon tego nie łatają, by dostawcy pegasusa mogli zarabiać?
Niewiem wogóle o co tu chodzi ale nawet ciekawe
Dzięki za materiał! PS. Na jakim mikrofonie nagrywasz? Dźwięk jest MEGA!
Shure sm7b
@@KacperSzurek tam myślałem. Słychać jakość. Dzięki i powodzenia.
Kolejny, fajny wideoblog, którego autor robi coś dziwacznego ze swoim głosem. Fatalnie tego słucha. Dykcja jak wokalizy Edyty Górniak
Bardzo ciekawe odcinki, w celu zwiekszenia sukcesu kanalu, mam propozycje i osmiele.sie zasugerowac aby to co opowiada sie w 45minut opowiedziec w 15-20m... serdecznie.pozdrawiam. M
Z jakiego powodu w bibliotece w ogóle znalazł się mechanizm pobierający i wykonujący zdalny kod? Tj jakie jest jego pierwotne zastosowanie? Bo z samego opisu brzmi to jak celowo umieszczony backdoor :D
Ta funkcja była używana w innym celu. Dopiero po jakimś czasie, ktoś zauważył, że można połączyć kilka elementów razem i wykorzystać je w złośliwym celu.
@@KacperSzurek Istnieją następujące możliwości:
Autor tej funkcji był mentalnie krótkowzroczny albo świadomie działał z premedytacją wiedząc o potencjalnym zagrożeniu.
Hej, mam sugestię dotyczącą linków - czy mógłbyś je numerować (na slajdzie dodać numer linku), aby łatwiej było odnaleźć je na Twojej stronie? Niestety tam nie są w kolejności. Pozdrawiam i dziękuję za wysokiej jakości materiały. Śledzę Cię od prawie 2 lat ;)
Najlepiej to cofnijmy się do średniowiecza będzie BEZPIECZNIEJ! 😁😁😁
Czy trudno byłoby zmodyfikować Log4j aby wyłączać podatne moduły w celu poprawy bezpieczeństwa dla Release builds? Mniej furtek, mniej problemów. Słabo to wygląda, że zwykły logger, który ma dostarczyć trochę przydatnych informacji programistom lecz nie pełni żadnej kluczowej funkcji w aplikacji jest tak dziurawy w bezpieczeństwie.
Problem w tym, że do momentu znalezienia błędu nie wiesz, które moduły są bezpieczne a które nie.
Z punktu widzenia administratora systemu - zmiana flagi, aby wyłączyć podatny moduł - czy też aktualizacja, to zbliżone czasowo operacje.
Ktoś by mógł mi pomóc z de serializacją obiektu dla java 17? Robię wszystko według instrukcji i coś mi nie działa :(
.NET posiada swój odpowiednik log4j o nazwie log4net. Czy ta biblioteka również jest podatna na ten atak?
Nie jest
Nie jest podatna na ten atak.
Czy nie wrzucałbyś swoich materiałów również na Odysee? Pozwalają na łatwą synchronizację z kontem RUclips, więc z tego co wiem, automatycznie zaimportowałoby tam wszystkie Twoje filmy, choć mogę się mylić, bo nie jestem tam twórcą. Z tego co widzę to około 20% widowni kanałów technologicznych na YT jest również na Odysee, więc zakładam, że tyleż samo Twojej widownii by się tam znalazło. Nie jest to wiele i nie zwiększa zasięgu, ale pomaga takim ludziom jak ja uniezależnić się od scentralizowanych serwisów internetowych. Wielu twórców informujących o technologii tworzy na YT, aby dojść do jak największego grona odbiorców, a z Odysee korzysta, żeby nie być zależnym od cenzury YT (co raczej Ciebie nie dotyczy). Mimo wszystko, byłoby miło, gdybyś wziął pod uwagę tą synchronizację z Odysee :)
Temat do przemyślenia - dzięki za propozycje.
Piekny pomysł
Mógłbyś zaktualizować swoją wiedzę prawniczą w temacie. Niezamówione pentesty, zgodnie z art. 269c. KK są całkowicie legalne, jeżeli nie wyrządzając szkody, działasz w celu zabezpieczenia systemu informatycznego oraz niezwłocznie powiadomisz zainteresowanego o znalezionych podatnościach.
Zauważ, że mówię: "Pamiętaj, że wykonywanie nieautoryzowanych testów penetracyjnych może być przestępstwem." Może a nie, że zawsze musi ;) Drobna różnica.
Osobiście wychodzę jednak z założenia, że lepiej testować tam gdzie nie ma żadnego, prawnego ryzyka.
Jest tyle programów bug bounty/ctfów/projektów open source, że przeprowadzanie niezamówionych pentestów - to moim zdaniem - proszenie się o kłopoty.
Jak tam praca w najlepszym antywirusie w firmie Eset
👌👌👀
Podatna jest między innymi Ghidra?
Tak
Czemu programiści mają tyle pracy z tą aktualizacją? Nie wystarczy wejść we właściwości projektu, podbić wersję biblioteki i już?
Pewną trudnością jest zidentyfikowanie miejsc, w których korzysta się z podatnej biblioteki. Bo Twój kod może z niej nie korzystać, ale kod innej osoby - używany w Twoim projekcie - już może to robić.
Biblioteka, która z założenia ma zapisywać logi, uruchamia zdalnie komendy? Nie jest to coś, co powstaje przypadkiem wg mnie.
o jejku ..24 463 wyświetlenia16 gru 2021. odczuwam atak wirusa o tajemniczej dawce 1, 2, 3 - aktualizacja/ c19
Cały tydzień updates za mną :)
W robocie log4j, w wolnym czasie log4j, w nocy mam sny o log4j. A cały rok był spokój 😬😂
A co z minecraftem. Który jest bezpieczny od tego?
Serwery Minecrafta są podatne. Najlepiej zaktualizować je do wersji 1.18.1.
moj kot jest bardzo podatny na szynke
Hah mój też
Jakby to powiedział wiedźmin: "Zło to zło. Większe, mniejsze, Java."
Nie wiem o co chodzi 👁🏴☠️👁 Dżgamy dalej.. 🛬🕊
Już mam wątpliwości które wirusy są bardziej rozwojowe. W branży IT czy branży MZ?
0micron w bibliotece Log4j-C19
kuzwa dwa dni spedzilem servery zamykajac...
To nie błąd. To backdoor... Pytanie: ktoś celowo to zrobił?
4:26 Współczuję oczom D:
Ja myślałem, że to się czyta LOGAJ xD
Nieco ponad tydzień później film o tym błędzie robi LiveOverflow
I wiele innych osób. Tak to już jest z popularnymi tematami :)
Świetne zimowe opony w jednej z migawek. Co to za marka?
Oceniasz opony po tym jak wyglądają?! XD
@@laufer941 Po grubości bieżnika 🙂
@@laufer941 no pewnie. A czy ty, kiedy kupujesz dajmy na to karkówkę, patrzysz na skład chemiczny? Im coś ładniejsze, tym lepsze :D
@@Waldo_Ilowiecki Ta, a potem okazuje się że psuć się zaczęła i wymoczyli w chemii żeby zatrzymać proces psucia.
Ludzie którzy używają Javy zamiast C# sami są sobie winni. Co za język wykonuje standardowo kod z ciągu string
Hakujemy serwery minecraft? XD
protonmail +1
Ktoś miał fantazje żeby w libce logger-a pobierać jakiś zasób zewnątrz i go uruchamiać.
33 533 wyświetlenia/20-12/2021
Przeczytałem logaj i już kliknąłem esc
Ojejku ...kolejne odcinki o algorytmach YT. ciągłe sypią że przekroczone wytyczne dla ....
why did this get recommended to me
w korporacjach sraczka... wszyscy szukają systemów używających Log4j ;-)
znakomite
igrek es o serial.
Kacprze!
To tak jakbyś tłumaczył komuś mema
Y U NO cośtam jako
igrek u nie cośtam.