1️⃣
سأتحدث بعد قليل عن #ثغرة تكنولوجية خطيرة اكتشفت حديثا تسمى #Log4j.
zdnet.com
وقد أمرت وكالة #الامن_السيبراني وأمن البنية التحتية الأمريكية #CISA جميع الوكالات الفيدرالية المدنية بتصحيح هذه الثغرة خلال 10 أيام وإضافتها إلى كتالوج ثغرات الاستغلال الخاص بها.
سأتحدث بعد قليل عن #ثغرة تكنولوجية خطيرة اكتشفت حديثا تسمى #Log4j.
zdnet.com
وقد أمرت وكالة #الامن_السيبراني وأمن البنية التحتية الأمريكية #CISA جميع الوكالات الفيدرالية المدنية بتصحيح هذه الثغرة خلال 10 أيام وإضافتها إلى كتالوج ثغرات الاستغلال الخاص بها.
2️⃣
وتم تحديد ثغرة #log4j والتي كانت مجهولة منذ مدة طويلة في جزء غامض من برنامج السيرفر، وأدت إلى إجراء تحقيقات معمقة في شركات منها #أمازون و #تويتر و #سيسكو. وقد اصدرت شركة أمازون تحذيرا أمنيا، "نحن نراقب هذه المشكلة، ونعمل على معالجتها".
aws.amazon.com
وتم تحديد ثغرة #log4j والتي كانت مجهولة منذ مدة طويلة في جزء غامض من برنامج السيرفر، وأدت إلى إجراء تحقيقات معمقة في شركات منها #أمازون و #تويتر و #سيسكو. وقد اصدرت شركة أمازون تحذيرا أمنيا، "نحن نراقب هذه المشكلة، ونعمل على معالجتها".
aws.amazon.com
4️⃣
ومنذ الاعلان عن هذه الثغره يتسابق قراصنة الانترنت و تجار اسواقها السوداء الى استغلالها في شن هجمات إلكترونية ضد شركات كبرى اما للتحكم بها وطلب #فدية لاعادة تشغيلها او تثبيت برامج ضارة للتعدين او للتجسس على الخدمات التخزين #السحابية واستخراج #المعلومات الحساسة منها.
ومنذ الاعلان عن هذه الثغره يتسابق قراصنة الانترنت و تجار اسواقها السوداء الى استغلالها في شن هجمات إلكترونية ضد شركات كبرى اما للتحكم بها وطلب #فدية لاعادة تشغيلها او تثبيت برامج ضارة للتعدين او للتجسس على الخدمات التخزين #السحابية واستخراج #المعلومات الحساسة منها.
5️⃣
⭕ وقد اصدر المركز الوطني للأمن السيبراني التابع للحكومة السويسرية تعليمات لتصحيح ثغرة #log4j
⭕ واصدرت #مايكروسوفت بيانا حول الموضوع
microsoft.com
⭕ كما اصدرت شركة VMware تعليمات للمساعدة في إغلاق الثغرة
vmware.com
⭕ وقد اصدر المركز الوطني للأمن السيبراني التابع للحكومة السويسرية تعليمات لتصحيح ثغرة #log4j
⭕ واصدرت #مايكروسوفت بيانا حول الموضوع
microsoft.com
⭕ كما اصدرت شركة VMware تعليمات للمساعدة في إغلاق الثغرة
vmware.com
6️⃣
ماهي الأجهزة والتطبيقات المعرضة للخطر؟
سيكون أي جهاز مشبوك على الإنترنت في خطر إذا كان يعمل على Apache #Log4J نسخة من 2.0 إلى 2.14.1.
و ورد في ملاحظة NCSC أن الإصدار المتأثر بالثغره موجود ضمن
Apache Struts2
Solr
Druid
Flink
Swift
ncsc.gov.uk
ماهي الأجهزة والتطبيقات المعرضة للخطر؟
سيكون أي جهاز مشبوك على الإنترنت في خطر إذا كان يعمل على Apache #Log4J نسخة من 2.0 إلى 2.14.1.
و ورد في ملاحظة NCSC أن الإصدار المتأثر بالثغره موجود ضمن
Apache Struts2
Solr
Druid
Flink
Swift
ncsc.gov.uk
7️⃣
الثغره خطيرة وتجتاح العالم ويجب تنبيه مراكز المعلومات في القطاع العام والخاص والشركات السحابية لتتبع تحديثات الجهود العالمية لاغلاق هذه الثغره والاستفادة من تلك الحلول.
#الامن_السيبراني #أمن_المعلومات
الثغره خطيرة وتجتاح العالم ويجب تنبيه مراكز المعلومات في القطاع العام والخاص والشركات السحابية لتتبع تحديثات الجهود العالمية لاغلاق هذه الثغره والاستفادة من تلك الحلول.
#الامن_السيبراني #أمن_المعلومات
8️⃣
ولمزيد من المعلومات حول الموضوع باللغة العربية فقد ترجمة #قناة_العربية تقرير صحيفة #وول_ستريت_جورنال عن الموضوع👇
alarabiya.net
ولمزيد من المعلومات حول الموضوع باللغة العربية فقد ترجمة #قناة_العربية تقرير صحيفة #وول_ستريت_جورنال عن الموضوع👇
alarabiya.net
9️⃣
من افضل ماقرات لشرح حجم مشكلة ايجاد واصلاح ثغرة #Log4J ماذكرته تيريزا بايتون #TheresaPayton خبيرة الأمن السيبراني ورئيسة قسم المعلومات في البيت الأبيض السابقة ل #ScientificAmerican
scientificamerican.com
من افضل ماقرات لشرح حجم مشكلة ايجاد واصلاح ثغرة #Log4J ماذكرته تيريزا بايتون #TheresaPayton خبيرة الأمن السيبراني ورئيسة قسم المعلومات في البيت الأبيض السابقة ل #ScientificAmerican
scientificamerican.com
🔟
تقول:
لو اكتشفت أن مسامير البنايه بها خلل ويمكن ان تنكسر في أي لحظة.
فما هو العمل؟
ستطلب من شركات المقاولات البحث لتحديد مكانها واستبدالها قبل أن تنكسر.
لكن ماهو العمل اذا كان لدينا شركات كبيرة ومجموعات ضخمه من البنى التحتية؟ كيف سيتم التفتيش لتحديد ثغره #Log4J في أنظمتهم؟
تقول:
لو اكتشفت أن مسامير البنايه بها خلل ويمكن ان تنكسر في أي لحظة.
فما هو العمل؟
ستطلب من شركات المقاولات البحث لتحديد مكانها واستبدالها قبل أن تنكسر.
لكن ماهو العمل اذا كان لدينا شركات كبيرة ومجموعات ضخمه من البنى التحتية؟ كيف سيتم التفتيش لتحديد ثغره #Log4J في أنظمتهم؟
1️⃣1️⃣
إن البحث والتتبع لايجاد أين تم كتابة هذه الثغره [داخل كل برنامج] هو مثل البحث عن إبره في اكوام القش.
عادة، عندما تكتشف ثغرة أمنية يمكن لمسئول #أمن_المعلومات معرفة خطوات الصيانه واصلاحها، لكن الوضع هنا مختلف، لأن هناك سلسلة طويله لتوريد هذه البرامج (داخليا وخارجيا).
إن البحث والتتبع لايجاد أين تم كتابة هذه الثغره [داخل كل برنامج] هو مثل البحث عن إبره في اكوام القش.
عادة، عندما تكتشف ثغرة أمنية يمكن لمسئول #أمن_المعلومات معرفة خطوات الصيانه واصلاحها، لكن الوضع هنا مختلف، لأن هناك سلسلة طويله لتوريد هذه البرامج (داخليا وخارجيا).
1️⃣2️⃣
من سلسلة التوريد تم استخدام:
مصادر مفتوحة
شراء برامج من جهات خارجية
استخدام أدوات تطوير خارجية
وقد تحتوي جميع برامجها على العديد من ثغرات #Log4J.
مثلا: قد يكون هناك #سلسلة_توريد لجهاز واحد من اجهزة إنترنت الأشياء، فما بالك بسلسلة توريد اجهزة مثل #Alexa أو #GoogleHome ؟
من سلسلة التوريد تم استخدام:
مصادر مفتوحة
شراء برامج من جهات خارجية
استخدام أدوات تطوير خارجية
وقد تحتوي جميع برامجها على العديد من ثغرات #Log4J.
مثلا: قد يكون هناك #سلسلة_توريد لجهاز واحد من اجهزة إنترنت الأشياء، فما بالك بسلسلة توريد اجهزة مثل #Alexa أو #GoogleHome ؟
1️⃣3️⃣
في اجهزة Alexa أو Google Home ما بين 10 إلى 60 شركة خارجية مختلفة تصنع القطع والأجزاء المختلفة مثل
البرامج الثابتة
ونظام التشغيل
وتطوير التطبيقات
وغيرها.
فمجرد محاولة البحث لإيجاد ثغره #log4j في منتج واحد تعتبر مهمة شاقة للغاية فما بالك بجميع البرامج في جميع المنتجات.
في اجهزة Alexa أو Google Home ما بين 10 إلى 60 شركة خارجية مختلفة تصنع القطع والأجزاء المختلفة مثل
البرامج الثابتة
ونظام التشغيل
وتطوير التطبيقات
وغيرها.
فمجرد محاولة البحث لإيجاد ثغره #log4j في منتج واحد تعتبر مهمة شاقة للغاية فما بالك بجميع البرامج في جميع المنتجات.
1️⃣4️⃣
واختتمت تصريحها بقول:
"بالنسبة لقراصنة الإنترنت ، تعتبر هذه الثغره مثل العيد الذي أتاهم مبكرًا."
واختتمت تصريحها بقول:
"بالنسبة لقراصنة الإنترنت ، تعتبر هذه الثغره مثل العيد الذي أتاهم مبكرًا."
جاري تحميل الاقتراحات...