¿Qué es Log4j y por qué esta vulnerabilidad amenaza a TODO INTERNET?
💀 Log4j es una librería MUY popular de Java que está presente en millones de dispositivos al rededor del mundo. HOY esa librería presenta una de las mayores vulnerabilidades de internet que pueden afectar a cualquiera de tus dispositivos, lo suficiente como para robarte tus datos personales.
👨💻 Freddy Vega, CEO y cofundador de Platzi, te contará en este video qué es y por qué debes preocuparte por Log4j.
👇 Estos son los cursos que Freddy te recomienda
Guía para Aprender Seguridad Informática: platzi.com/l/guia-informatica/
Curso Básico de Seguridad Informática para Empresas: platzi.com/l/curso-seguridad/
----------------------------------------------------------------------
👉 Platzi es una plataforma de educación Online, con tu suscripción tienes acceso a cursos en diferentes áreas de aprendizaje:
- Desarrollo e ingeniería
- Diseño y UX
- Marketing
- Negocios y emprendimiento
- Producción audiovisual
- Crecimiento profesional
Cada área está compuesta por Rutas de aprendizaje y Escuelas que harán de tu perfil uno de los más demandados de la industria. Además, cuentas con nuestros grupos de estudio, meetups digitales y tutoriales en nuestro sistema de discusiones.
----------------------------------------------------------------------
Todo esto y más, en platzi.com
Síguenos
Facebook: platzi.com/l/fHl6pows/
Twitter: platzi.com/l/0DJ5PONB/
Instagram: platzi.com/l/jt260ue0/
@especial-platzi
Пікірлер: 525
¿También les pasó que esperaban el momento en que Freddy dijera Log 4 Jota y no Log 4 Gé? xd
@EddyOneKenobi
2 жыл бұрын
Ya le iba a comentar pero me ganaste tocayo...
@pepetruccigp
2 жыл бұрын
Jaja lo dice bien en inglés mal en español . Yei = j yi= g
@everrosales6786
2 жыл бұрын
Si, me daba un tic cada vez que lo escuchaba, estaba hasta contando las veces que lo dice, pero dije, va!!, que siga nomás...
@christianaldabeganoza167
2 жыл бұрын
Cierto, dice log cuatro ge en lugar de log cuatro jota
@AlekosEscu
2 жыл бұрын
Jajajajajaja
Freddy tienes ese don para explicar cosas complicadas de una manera sencilla sos un capo, ahora aprender seguridad que es una habilidad muy retributivo de forma económica
@gerardoruizjacobson6998
2 жыл бұрын
Se dice retributiva no retributivo
@brayanalbertorojasgallo8042
2 жыл бұрын
@@gerardoruizjacobson6998 el corrector no fue retributivo😂
@arminschneider9132
2 жыл бұрын
@@brayanalbertorojasgallo8042 xD
@corazonencantado6297
2 жыл бұрын
pero no explico lo mas importante cual version exacta de todas las librerias log4j ? si es del core solamente tienen el problema ? solo repitio lo que se sabia pero no el detalle tecnico
@Dr_Plaga_X
2 жыл бұрын
@@corazonencantado6297 Repitio lo que se sabia? hay gente que no conoce estas cosas en primer lugar, ademas desde el inciio esta diciendo que solo es un resumen.....
Y el problema no es que uno no actualice seguido, porque en general uno lo hace, de manera automática. El problema es que las empresas como Lenovo y similares NO LO HACEN, no envían la actualización, abandonan varios productos y no mandan actualizaciones o parches de seguridad y ahí es donde viene el verdadero problema para uno como usuario.
Cuánto que hay para aprender, no terminas nunca, es genial.
@antonimejia9016
2 жыл бұрын
True
@beniigle8082
2 жыл бұрын
Verdad
Y pensar que Minecraft Java también tiene esto, y lo magnífico que fue que en usuario en un servidor anárquico lo usó para advertir a los jugadores que deben actualizar sus clientes para evitar ser vulnerados.
@kevinuribe2156
2 жыл бұрын
Hace poco sucedio lo mismo. Con una gran mayoria de servidores, uniendolos a todos a un servidor de discord el cual estaban todos locos allí, bastante loco.
@sigladon
2 жыл бұрын
kzread.info/dash/bejne/jGZmsZeuddasZrg.html
@CClapy
2 жыл бұрын
2b2t
En 5 años trabajando en banca con Java, en todo tipo de aplicaciones, y solo pensar en todas las aplicaciones legacy y vendors es imposible de reparar todo.
Hombre, primero me asustas y luego me ofreces tu curso. Excelente táctica, en una semana tomo el curso hahaha
6:56 gracias por la aclaración
También le afectó a log4g , que barbaridad 🤓😜
Wow por fin! Estaba esperando este video hace días jaja. Llevo días recibiendo casos de este tema en mi trabajo y quería ver que tenía para decirnos Freddy jaja
exito freddy . eres genial la manera como explicas se te entiende sin esfuerzo,
La habilidad de Freddy y del equipo de Platzi para mantenernos informados y a la vez vendernos un curso relacionado con el tema. Mis respetos.
@Abnesis
2 жыл бұрын
Asqueroso, pura copia de otros sitios de mayor prestigio en ingles. Pero como la mayoria no sabe pues. HETE AQUI.
@oth3w
Жыл бұрын
Jajaj por tu falta de inglés p
Un shot por cada vez que Freddy dice "sistemas autónomos"
@DCowboy7777
2 жыл бұрын
Limón cada vez que dice "cuatro jé"
Gracias Freddy por traer esta información tan importante... ahora mismo me pongo a compartirlo ... Gracias de nuevo... Un saludo
Thanos: "Usé las gemas para destruir las gemas" También Hackers: "Usé Log4j para arreglar Log4j"
Que elocuencia para la docencia, madre mía! Todo lo haces fácil de comprender
Gracias por el tutorial freddy! muy atento :)
Oye interesante, ganas de aprender esos cursos, ya lo voy a poner en mi lista de aprendizaje
Gracias por el tutorial para explotar el log4j. Gran comunicador y pedagogo, Fredy!
FREDY, EXCELENTE TU VÍDEO, ME GUSTÓ MUCHÍSIMO !!! GRACIAS POR COMPARTIR TUS CONOCIMIENTOS. DIOS TE BENDIGA ABUNDANTEMENTE.
excelente video, estupenda explicación , gracias ✌🏻
Excelente información Freddy, gracias!
Más allá de la info muy útil. Me encanta la narrativa!!!!
Después de casi un año vuelvo a GUARDAR un VÍDEO en FAVORITOS, Excelente!
Excelente !!! Gracias
J en inglés suena Yei y G suena Yi, Yei es parecido a G y suele confundirse pero en realidad es jota, log 4 jota.
@Mario_Fidel_Castro_Davalos
2 жыл бұрын
En éste caso no se usa "en realidad es" se usa "lo correcto es" porque esta cometiendo un error, no esta hablado de una fantasía o inventando algo, lo correcto es log cuatro jota 😉
@richigarciacastro
2 жыл бұрын
@@Mario_Fidel_Castro_Davalos Uff, muy cierto. Estamos acostumbrados a decir 'en realidad' y ahora que lo pienso casi siempre está mal dicho.
@smilkingtang2283
2 жыл бұрын
Jajaja es jota, Fredy, es JOTA!! no G.
@juliogarcialopez4769
2 жыл бұрын
Ja, lo mismo noté y escribí 58 minutos después que Tú.
@lalointhamix
2 жыл бұрын
Interesante. Siempre digo "en realidad" Ahora aprendí y me asesoré que está mal dicho.🤦
sigo diciendo que es increíble y fascinante, cómo los humanos tenemos que protegernos de otros humanos xd bueno ahora ya no es protegernos de otros humanos sino también de máquinas hechas por otros humanos para dañar a otros humanos. en fin la humanidad. 😔
@richigarciacastro
2 жыл бұрын
Siempre ha sido así, cuando los humanos empezaron a ser sedentarios no lo hicieron de un día para otro, la transición duró décadas y mientras unos eran sedentarios otros eran nómadas, muchas veces pasaban hambre y frío y cuando encontraban una comunidad sedentaria con comida entraban a saquear (y matar) para sobrevivir, eso obligó a los sedentarios a hacer murallas y quienes las protegieran para defenderse de otros humanos, los primeros militares de la historia.
@anastaci0137
2 жыл бұрын
En fin representación de lo que llaman bella naturaleza, es igual con cualquier ser vivo.
@dersanz
2 жыл бұрын
No tiene nada de increíble. Lo contrario también es cierto, hay muchísima bondad.
@LuisVPazmino
2 жыл бұрын
The Matrix (1999).
@phoeniciaaustralis3046
2 жыл бұрын
@@LuisVPazmino It begins...
Es todo un placer escuchar a Freddy ❤️
En momentos como este me alegro de haber puesto logback y no log4j en los sistemas con que trabajo.
Justo estaba esperando que Freddy lo explique
Cuando estudiaba en la universidad escuché hablar de alibaba y aliexpress, tiempo después oí sobre amazon como plataforma de compras, me parece curioso que ambos modelos escalaron a servicios cloud, que viene ahora un mercadolibre web services?
@amiseo
2 жыл бұрын
No, ellos están sobre AWS y la nube de google
@jututogame1999
2 жыл бұрын
China copia todo lo que hace el mundo xd
@gatuber0509
2 жыл бұрын
@@jututogame1999 xd
@rwejio
2 жыл бұрын
Híjole te atrasaste solo que se llama mercado pago ;)
Se necesitaba la info del señor cabecicuadrado, Muchas gracias
Hola Freddy ¿Cómo estas? Muy lindo tu video, pero ¿Cómo consigo una campera igual a la tuya? saludotes
8:53 Esa historia me suena muy similar a los reportes de cómo inició (bajo mucho secreto) la pandemia en China también en noviembre y diciembre de 2019... pero luego vino la catástrofe mundial meses después en 2020. :-/
@DavidBarrera1
2 жыл бұрын
esto existe desde 2013
@felipe21994
2 жыл бұрын
@@DavidBarrera1 el virus también se sabia que existía en china en murciélagos desde hace años, no recuerdo si fue en 2009 o 2011 que se comenzó a estudiar un poblado donde la gente tenia síntomas de gripa constantes y se teorizo que podía ser una enfermedad que saltó a los humanos, la investigadora principal resulta que fue de las primeras personas que se sabe manejo el virus en el laboratorio de Wuhan.
@rayopro
2 жыл бұрын
No es nada nuevo, asi funciona todo en todo el mundo
@deivicpro4852
2 жыл бұрын
No creo que ya que podrían haber sacado la vacuna mucho antes para sacar provecho
Belga, de Bélgica
El gobierno chino, debería tener una suscripción en platzi...
Gracias
Muy interesantes usted es el mejor
@nicolasgaleano6481
2 жыл бұрын
Perdón, escribí ese comentario borracho anoche, aunque mi opinión del video sigue siendo la misma 👍🏻
Freddy no tengo ni idea de siver seguridad, explicame como me protejo, dicen que slio la vercion 2.17.0 pero no se que es ni como usarlo
Fredy me gusta en verdad como vendes. Excelente
Thanks
No entendí la mitad de lo que dijiste mi querido freddy. Solo entendí que cualquier día me pueden hackear 😱😨
cuando veo un video de platzi, si aparece freddy se que el final del video sera aterrador!.jeje buen video! gracias por informar.
Cualquiera podría pensar de que esto fue pensado de forma sistemática para extraer datos por parte de organizaciones gubernamentales.
@alvarocisneros1648
2 жыл бұрын
Hay gobiernos (y empresas privadas) que sacaron a Microsoft de sus entornos empresariales porque suponían que Windows enviaba información confidencial de los equipos de cómputo de las organizaciones a empresas estadounidenses... Parte de esto fue cierto. Ahora bien lo que comentas es menos probable: ¿porque? Porque a diferencia de un producto cerrado como Windows, Apache no solo publicó la corrección a log4j sino que puede uno ver el commit exacto y el detalle puntual de la corrección, es más puede uno bajar el código y ver lo que hace al completo la librería. No se necesita ser un Dios de la programación para entender el código (hay un canal de KZread de colegas argentinos donde está semana platicaron a detalle del commit con la corrección). Esa es una de las razones de la confianza de empresas y gobiernos en el software libre.
Menos mal estamos salvados. Uffff! Que susto!!! Ya que el error es Log4g y no Log4j. Gracias Freddy!! Eres el mejor. Ejejje!!😁👍😉
pero freddy si uno se arma en protección alfinal el computador estará procesando constantemente y no me dejara (por no decir que no me deja) trabajar olgadamente y ese es un problema porque ya sea la empresas o trabajos universitarios requieren rapidez que se hace en estos casos, esto puede ser un simil para usuarios con un computador de baja gama
Excelente video! Solo una observación, se escucha un poco de eco de fondo! Saludos
y ese curso entra entre los basicos gratuitos... ejemplo el primer nivel... .o es paso desde el inicio
(10:16) 👀 sí eso ocurre con los huecos de seguridad. Qué paso con la 😷?
no me queda algo claro que medidas debemos tomar actualizar nuestros sistemas operativos windows, android y los firmware de nuestros reouters?
15:35, ya he tenido malas experiencias con hackers, la paranoia no es algo que me guste mucho... me trae malos recuerdos
¿Alguien sabe si los certificados de platzi especifican el número de horas?
yo también confundo la J y la G en ocasiones... bueno, no en tantas ocasiones como Freddy pero casi...
Tienes la habilidad de explicar las cosas para que se oigan de una manera fantástica. En otras palabras por decirlo así.... Sabías que cualquier puerta que tenga una chapa que utilicé una llave se puede abrir y cualquier persona que tenga una lo puede hacer. No me estoy burlando solo describo el contexto. Pero el vídeo es entretenido cuando no quiero ver más noticias de Civid-19 y no tengo que trabajar 👍
En realidad puede que las personas actualicen pero muchísimas empresas grandes usan software de hace mas de 10 años
Sería bueno agregar algún curso de Criptografía en la ruta de seguridad informática
Ya es un poco tarde, hace dos semanas que salió la vulnerabilidad.
Ahora entiendo porque a pesar de todos los parches de seguridad que se le meten al servidor de minecraft siempre hayan la forma de sacarse permisos y raidearlo/hackarlo. Lo unico bueno que, cada que lo intentan es un parche nuevo tapado y menos opciones de poder hackear.
Perdon por mi ignorancia pero en que programa se puede ejecutar ese codigo??
Freddy actualiza el curso básico de programación
Note this flaw ONLY affects applications which are specifically configured to use JMSAppender, which is not the default, or when the attacker has write access to the Log4j configuration for adding JMSAppender to the attacker's JMS Broker.
@mandrader
2 жыл бұрын
The tomcat package shipped with Red Hat Enterprise Linux does not include log4j but it does include a default configuration for log4j, log4j.properties, which could be used with tomcat if users choose to install and configure the library. The JMSAppender is not enabled by default, and the permissions of the file can only be modified as root.
@athanathor
2 жыл бұрын
Ok, y por qué en inglés?
@mandrader
2 жыл бұрын
@@athanathor lo copié como aparece en el portal de RedHat con respecto a la vulnerabilidad y su servidor de aplicaciones JBoss EAP o WildFly
guau, está genial...
Hoy me suscribí
Eres bueno
Freddy dice que JNDI es un protocolo pero JNDI no es un protocolo, justamente cómo lo indica su nombre, es una interfaz. Una interfaz permite la comunicación entre elementos de distintas capas, el concepto es super entendible si se estudia el modelo OSI. El LDAP (Lightweight Directory Access Protocol) si es un protocolo y se utiliza para entre otras cosas encontrar objetos dentro de bases de datos. Nada solo eso, gracias!
@luisdanielcoronelposada246
2 жыл бұрын
El modelo OSI no es un a estandarización del Internet que en la practica no se usa? Por favor esroy perdido e ignoro algo..
grande freddy todos hablaban deesto pero nadie explicaba como funcionaba
Agradezco a Platzi por estas noticias. Donde puedo mantenerme actulizado siempre de esto?
Pero si decían que Java ya estaba muerto, al parecer muchas aplicaciones importantes están hechas en Java. Es extraño que en las encuestas que nos presentan siempre este leguaje es poco utilizado.
@masajhn
2 жыл бұрын
Java no estaba muerto andaba de parranda
@ylles6820
2 жыл бұрын
java nunca murio ni va a morir creo, lo que tenia era una pelea con oracle pero nada mas
@rwejio
2 жыл бұрын
XD Java muerto que gracioso XD Está más vivo que nunca el ogt
@freddydev3562
Жыл бұрын
esta pobre anda programa en python special
En un curso de Platzi, mencionan que no debemos usar ese tipo de imágenes con marca de agua del minuto 1:35!
@DiosCabra
2 жыл бұрын
¿El de horatoria? :0
Esta librería tiene código privativo o libre?
Holaaa Freddy
Cuando dijo "y como tú ya tienes una suscripción a Platzi...-" me asusté por un segundo, porque ayer la compré xd
@danielt3383
2 жыл бұрын
En plazi hay cursos para aprender ortografia, hasta de pedicure,
@lalointhamix
2 жыл бұрын
Pedicure?
Ya no me siento tan mal programador ahora que se que las grandes empresas recurieron a esta libreria sin haberla auditada primeramente
@neociber24
2 жыл бұрын
No es que no la auditen, es que es imposible saber todas las posibles vulnerabilidades de un sistema, según Freddy comenta esto existe desde el 2013. Hasta proyectos open source abiertas a qué todos miren el código tienen vulnerabilidades.
@davidandresuppo7761
2 жыл бұрын
No tiene nada que ver el auditar librerias, esto existe desde hace años, como lo dijo Freddy de ejemplo, si detectaran una vulnerabilidad en el alert de javascript, crees que te echarían la culpa por no auditar javascript? Además, cuantos miles de miles de dólares cuesta auditar (no solo una libreria) cada libreria usada.
@spartanlegendsesy
2 жыл бұрын
@@neociber24 lo grave sería que alguien creara la vulnerabilidad de forma voluntaria para venderla por dinero. la forma mas fácil de que un país hackee a otro puede ser precisamente por este tipo de mecanismos como mandar espías expertos en programación a inyectar las librerías mas usadas y explotar vulnerabilidades, todo hecho con esa intención eso de que fue accidente tiene que ser analizado con cautela pues esta vulnerabilidad no es poca cosa.
@alvarocisneros1648
2 жыл бұрын
@@spartanlegendsesy Suena bien... con librerías cerradas como extjs u dlls o software cerrado o cracks para Windows u office de dudosa procedencia en Internet. En el software libre, dónde se mira lo que el producto hace, es más fácil que lo que encuentre uno es un error como este. También en el software libre es más fácil que la comunidad reporte nuevos problemas y la solución sea más rápida (como en este caso)
Y la informática Quantica no puede solucionar esto?? Saludos cordiales desde Misiones, Argentina 🇦🇷
Por cierto hay otro canal donde se muestra de forma puntual como reproducir el problema generando un directorio temporal en una máquina atacada usando máquinas virtuales con Kali Linux (atacante) y Ubuntu (atacada).
@mariogomezarr
2 жыл бұрын
Tienes el dato del canal/vídeo?
@alvarocisneros1648
2 жыл бұрын
@@mariogomezarr si amigo acá lo tienes en perfecto español: kzread.info/dash/bejne/o4F8x8ulYcjRc84.html
Fredy y comunidad platzi ¿podrían hablar de Sand, de sandbox?
Este video no es Para todos, muy tecnico
Finalmente, Freddy Freeman
min 6:56 pensé que se le había salido lo chino luego de fusionarse con un mexicano jajaj, freddy the best profesor of platzi
Me hubiera encantado que este fuera el platzi live de la semana anterior jajjajJa no saben comp batalle con esa vulnerabilidad xd
Despues de ver multiples videos en diferentes idiomas y fuentes tratando de entender que es log4j y no entender nada, vi tu video y tengo que decir que eres un genio me encanta como lo explicas en español, no en chino hahaha. Muchas gracias hermano.
En mi trabajo tuvimos que actualizar los jars y hacer un hot fix rápidamente en producción.
@daniels35
2 жыл бұрын
Que bien y en qué trabajas la banca ?
Los gestores de contraseñas siguen siendo seguros?
Es conveniente aprender python o algún otro lenguaje? Creen que Java podría dejar de usarse en unos 5 años?
@nextyou2495
2 жыл бұрын
No por que su libreria tuviera un hueco de seguridad quiere decir que se va dejar de usa java bro, pero si quieres aprender python esta bien, es muy bueno :D
@navi8192
2 жыл бұрын
Creo que tanto Phyton como Java ya son muy robustos y se quedarán con nosotros, como dice Freddy casi todo aparato tiene Java, y siempre se contratan huecos en cualquier sistema ya que nada es perfecto, solo hay que mantenerse informado y siempre estar actualizando todo
Siento que aunque sí, es un problema gigante y que está en la versión 2 de log4j, depende también como este protegido a nivel de infraestructura nuestro servidor, como este configurado el firewall, si accedes a través de una VPN entonces también son redes e IP privadas, etc. Entonces soluciones como las que dices Freddy de parchar la librería, es una de las más rápidas y adecuadas para salir de este problema rápido. Pero alguien con la capacidad para crear robots que ejecuten algoritmos altamente complejos en busca de información, pues atacará a empresas grandes, o entidades gubernamentales, creo que del 100% realmente un 2% está en peligro, los demás pueden estar más tranquilos.
Qué se hace cómo usuario promedio de internet?
@platzi no pusieron los links de las herramientas para detectar el log4j
Hace poco a un amigo le llegó un pago por 700 dólares desde su tarjeda de débito por supuestos servicios de AWS, no sé si tenga que ver con este tema pero tiene algo de sentido
Ya decia yo, donde estaba el video de Platzi hablando del tema?
Log cuatro "JOTA", no "ge" 😉 Un shot por cada vez que Freddy dice log-4-g 😆
@carlitoxb110
2 жыл бұрын
Jajaj estaba buscando este comentario
@davidrodriguez0
2 жыл бұрын
Entré a los comentarios solo buscando esto :)
@athanathor
2 жыл бұрын
Si no existía este comentario lo ponía yo jajaja
@victorhguarneros
2 жыл бұрын
seguramente es una prueba para saber si estamos aprendiendo el inglés correctamente. saludos Freddy
@edjuncos
2 жыл бұрын
Estoy pedísimo de tanto shot
Genio
Porfavor saquenme de una duda ¿eso quiere decir que sería fatal si empiezo a crear una aplicación en Java? ¿Mi aplicación se verá afectada de alguna u otra forma?
@StreamerUniversitario
2 жыл бұрын
No si la perchas, y la creas con el hueco de seguridad solventado
@BlackZeroSword
2 жыл бұрын
Log4J es solo una librería de logs, usa otra librería como por ejemplo logback. Eso es todo.
@lalointhamix
2 жыл бұрын
logback y listo. Cómo un ejemplo
Esto vendría a ser, "el 👑🦠 de la tecnologia"
Mi pregunta es (y no sé si será algo absurda) pero, ¿de dónde provienen los bots, y quién los crea?
@lalointhamix
2 жыл бұрын
Muy buena pregunta ¿Sería de la inteligencia artificial o machines learning?
Creo que Alibaba no le comunico a China sobre el Bug ya que le estorbaron el negocio al tio Jack Ma meses antes. xD ojo por ojo xD
@DavidBarrera1
2 жыл бұрын
jajajaja
@rayopro
2 жыл бұрын
Pusieron en riesgo la ciberseguridad china revelando el fallo a una organización extranjera con posible infiltración de inteligencia enemiga, es normal que se enoje China al igual que se enojó USA cuando Snowden
lo que pasa es que por esa razon ellos dejaron de actualizar java y por encima de todo los cheles ya lo vienen explotando ya desde el 2002. ya que desde entonces dos de mis computadoras empezaron a trabajar erroneamente y un de ellas esta ligada a un servido x que no se ni siquiera quien lo controla facinante si pero inusual
Porque dice "Log 4 G" ??
UN GRANDE
Creo que deberían sacar una escuela de seguridad informática
Hola Frddy entonces Java lleva riesgo de que lo reemplazen como lenguaje? 😖