Log4j: Το κενό ασφαλείας που θα μπορούσε να επηρεάσει όλο το ίντερνετ

Ένα κρίσιμο κενό ασφαλείας σε ευρέως χρησιμοποιούμενο λογισμικό στο ίντερνετ έχει σημάνει συναγερμό στους ειδικούς σε θέματα κυβερνοασφάλειας και οι μεγάλες εταιρείες τρέχουν να διορθώσουν το πρόβλημα.

Η ευπάθεια αυτή, η οποία αναφέρθηκε στα τέλη της περασμένης εβδομάδας, αφορά λογισμικό που βασίζεται σε Java, γνωστό ως «Log4j», το οποίο χρησιμοποιούν μεγάλοι οργανισμοί για τη διαμόρφωση των εφαρμογών τους - και εγκυμονεί δυνητικούς κινδύνους για μεγάλο μέρος του διαδικτύου.

Η υπηρεσία cloud computing της Apple, η εταιρεία ασφάλειας Cloudflare και ένα από τα πιο δημοφιλή βιντεοπαιχνίδια στον κόσμο, το Minecraft, είναι μεταξύ των πολλών υπηρεσιών που τρέχουν το Log4j, σύμφωνα με ερευνητές ασφαλείας, που επικαλείται το CNN.

Η Jen Easterly, επικεφαλής της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ, έκανε λόγο για «ένα από τα σοβαρότερα κενά ασφαλείας» που έχει δει στην καριέρα της. Σε δήλωσή της το Σάββατο, η Easterly δήλωσε ότι «όλο και περισσότεροι» χάκερ προσπαθούν ενεργά να εκμεταλλευτούν την ευπάθεια.

Από την Τρίτη, σημειωνόταν περισσότερες από 100 απόπειρες hacking ανά λεπτό, σύμφωνα με στοιχεία αυτής της εβδομάδας από την εταιρεία κυβερνοασφάλειας Check Point. «Θα χρειαστούν χρόνια για να αντιμετωπιστεί, ενώ οι επιτιθέμενοι θα ψάχνουν... σε καθημερινή βάση [για να το εκμεταλλευτούν]», δήλωσε ο David Kennedy, διευθύνων σύμβουλος της εταιρείας κυβερνοασφάλειας TrustedSec. «Πρόκειται για ωρολογιακή βόμβα για τις εταιρείες».

Τι είναι το Log4j και γιατί έχει σημασία;

Το Log4j είναι μία από τις πιο δημοφιλείς βιβλιοθήκες καταγραφής που χρησιμοποιούνται στο διαδίκτυο, σύμφωνα με τους ειδικούς σε θέματα κυβερνοασφάλειας. Το Log4j παρέχει στους προγραμματιστές λογισμικού έναν τρόπο να δημιουργούν ένα αρχείο δραστηριοτήτων που θα χρησιμοποιείται για διάφορους σκοπούς, όπως η αντιμετώπιση προβλημάτων, ο έλεγχος και η παρακολούθηση δεδομένων. Επειδή είναι ανοικτού κώδικα και δωρεάν, η βιβλιοθήκη ουσιαστικά αγγίζει κάθε μέρος του διαδικτύου.

«Ακόμα και αν είστε προγραμματιστής που δεν χρησιμοποιεί άμεσα το Log4j, μπορεί να εκτελείτε τον ευάλωτο κώδικα επειδή μία από τις βιβλιοθήκες ανοιχτού κώδικα που χρησιμοποιείτε εξαρτάται από αυτό», δήλωσε στο CNN Business ο Chris Eng, επικεφαλής έρευνας στην εταιρεία κυβερνοασφάλειας Veracode. «Αυτή είναι η φύση του λογισμικού: διαχέεται προς τα κάτω». Εταιρείες όπως η Apple, η IBM, η Oracle, η Cisco, η Google και η Amazon, χρησιμοποιούν το λογισμικό.

Το εκμεταλλεύονται οι χάκερς;

Οι χακερς φαίνεται γνώριζαν για πάνω από μια εβδομάδα το ελάττωμα του λογισμικού πριν αυτό γνωστοποιηθεί, σύμφωνα με την εταιρεία κυβερνοασφάλειας Cloudflare. Τώρα, με τόσο μεγάλο αριθμό προσπαθειών παραβίασης κάθε μέρα, ορισμένοι ανησυχούν ότι τα χειρότερα δεν έχουν έρθει ακόμα. «Οι εξελιγμένοι, πιο υψηλόβαθμοι φορείς απειλών θα βρουν έναν τρόπο να αξιοποιήσουν πραγματικά την ευπάθεια για να αποκομίσουν το μεγαλύτερο κέρδος», δήλωσε την Τρίτη ο Mark Ostrowski, επικεφαλής του τμήματος μηχανικής της Check Point.

Γιατί είναι τόσο κακό αυτό το ελάττωμα ασφαλείας;

Οι ειδικοί ανησυχούν ιδιαίτερα για το ελάττωμα αυτό, επειδή οι χάκερ μπορούν να αποκτήσουν εύκολη πρόσβαση στον διακομιστή υπολογιστή μιας εταιρείας, δίνοντάς τους έτσι πρόσβαση και σε άλλα τμήματα ενός δικτύου. Είναι επίσης πολύ δύσκολο να βρεθεί η ευπάθεια ή να διαπιστωθεί αν ένα σύστημα έχει ήδη παραβιαστεί, σύμφωνα με τον Kennedy.

Επιπλέον, μια δεύτερη ευπάθεια στο σύστημα Log4j εντοπίστηκε αργά την Τρίτη. Το Apache Software Foundation, ένα μη κερδοσκοπικό ίδρυμα που ανέπτυξε το Log4j και άλλο λογισμικό ανοικτού κώδικα, κυκλοφόρησε μια διόρθωση ασφαλείας για να κλείσουν τα κενά αςσφαλείας.

Πώς προσπαθούν οι εταιρείες να αντιμετωπίσουν το ζήτημα;

Την περασμένη εβδομάδα, το Minecraft δημοσίευσε μια ανάρτηση στο blog του ανακοινώνοντας ότι ανακαλύφθηκε μια ευπάθεια σε μια έκδοση του παιχνιδιού του - και εξέδωσε γρήγορα μια διόρθωση. Άλλες εταιρείες έχουν λάβει παρόμοια μέτρα.

Η IBM, η Oracle, η AWS και η Cloudflare εξέδωσαν συμβουλές προς τους πελάτες τους, με ορισμένες να προωθούν ενημερώσεις ασφαλείας ή να περιγράφουν τα σχέδιά τους για πιθανές επιδιορθώσεις.

«Πρόκειται για ένα τόσο σοβαρό σφάλμα, αλλά δεν είναι σαν να μπορείς να πατήσεις ένα κουμπί για να το επιδιορθώσεις όπως μια παραδοσιακή μεγάλη ευπάθεια. Θα χρειαστεί πολύς χρόνος και προσπάθεια», δήλωσε ο Kennedy.