KRITIČNA pogreška u popularnom i često korištenom softveru nagnala je stručnjake za kibernetičku sigurnost da oglase alarme, a velike se kompanije sada utrkuju da riješe problem.
Propust ili ranjivost, koja je otkrivena krajem prošlog tjedna, nalazi se u softveru baziranom na Javi poznatom kao Log4j. Velike organizacije koriste ga za konfiguriranje svojih aplikacija i predstavlja potencijalne rizike za veći dio interneta, piše CNN.
Appleova cloud usluga, sigurnosna kompanija Cloudflare i jedna od najpopularnijih videoigara na svijetu Minecraft, među brojnim su korisnicima softvera Log4j. Jen Easterly, voditeljica Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) u američkom Ministarstvu domovinske sigurnosti, nazvala je to jednim od najozbiljnijih nedostataka uočenih u njezinoj karijeri. Easterly je u subotu rekla da sve veći broj hakera aktivno pokušava iskoristiti ovu ranjivu točku.
Od utorka se događa više od 100 pokušaja hakiranja u minuti, prema podacima tvrtke za kibernetičku sigurnost Check Point.
"Bit će potrebne godine da se to riješi, a napadači će na dnevnoj bazi pokušavati to iskoristiti. Ovo je tempirana bomba za kompanije", rekao je David Kennedy, izvršni direktor tvrtke za kibernetičku sigurnost TrustedSec.
Što je Log4j i zašto je bitan?
Prema stručnjacima za kibernetičku sigurnost, Log4j je jedna od najpopularnijih datoteka za zapise koje se koriste na internetu. Log4j pruža programerima softvera mogućnost da izgrade evidenciju aktivnosti koja će se koristiti u razne svrhe, kao što su rješavanje problema, revizija i praćenje podataka. Budući da je i otvorenog koda i besplatna, datoteka dotiče svaki dio interneta.
"To je sveprisutno. Čak i ako ste programer koji ne koristi Log4j izravno, možda i dalje pokrećete ranjivi kod, jer jedna od knjižnica otvorenog koda koju koristite ovisi o Log4j. Ovo je priroda softvera, on prožima sve", rekao je za CNN Chris Eng, glavni istraživač u tvrtki za kibernetičku sigurnost Veracode.
Kompanije kao što su Apple, IBM, Oracle, Cisco, Google i Amazon koriste ovaj softver. Mogao bi se pojaviti u popularnim aplikacijama i web stranicama, a stotine milijuna uređaja diljem svijeta koji pristupaju tim uslugama mogli bi biti izloženi ranjivosti.
Iskorištavaju li ga hakeri?
Čini se da su napadači imali više od tjedan dana prednosti u iskorištavanju softverske pogreške prije nego što je ona bila javno otkrivena, pokazuju podaci tvrtke za kibernetičku sigurnost Cloudflarea. Zbog tako velikog broja pokušaja hakiranja koji se događaju svaki dan, neki se brinu da će najgore tek doći.
"Sofisticirani i spretniji hakeri smislit će način da iskoriste ovu ranjivost kako bi se ostvarili najveću dobit", rekao je u utorak Mark Ostrowski, šef inženjeringa Check Pointa.
U utorak je Microsoft objavio da su hakeri iz Kine, Irana, Sjeverne Koreje i Turske uz državnu podršku pokušali iskoristiti pogrešku na Log4j.
Zašto je ovaj sigurnosni nedostatak tako opasan?
Stručnjaci su posebno zabrinuti zbog toga što hakeri mogu lako pristupiti računalnom poslužitelju kompanije, što im omogućuje ulazak u druge dijelove mreže. Također je vrlo teško pronaći propust ili vidjeti je li sustav već ugrožen, smatra Kennedy. Osim toga, kasno u utorak pronađena je druga ranjivost u sustavu Log4j. Apache Software Foundation, neprofitna organizacija koja je razvila Log4j i drugi softver otvorenog koda, objavila je sigurnosnu zakrpu za organizacije koje koriste softver.
Kako kompanije pokušavaju riješiti problem?
Minecraft je prošlog tjedna objavio da je ranjivost otkrivena u verziji njegove igre i brzo objavio kako je ukloniti. Druge tvrtke poduzele su slične korake. IBM, Oracle, AWS i Cloudflare su izdali savjete korisnicima, a neki od njih pokreću sigurnosna ažuriranja ili navode svoje planove za moguće zakrpe.
"Ovo je ozbiljan bug, ali ne možete samo pritisnuti gumb i sve popraviti. To će zahtijevati puno vremena i truda", rekao je Kennedy.
Radi transparentnosti i suzbijanju dezinformacija, CISA je rekao da će postaviti javnu web stranicu s ažuriranjima o tome na koje softverske proizvode utječe ranjivost i kako su ih hakeri iskorištavali.
Što možete učiniti da se zaštitite?
Pritisak je uvelike na kompanijama. Za sada bi se ljudi trebali pobrinuti za ažuriranje uređaja, softvera i aplikacija nakon što tvrtke u sljedećim danima i tjednima izdaju upute.
Što je sljedeće?
Američka vlada izdala je upozorenje pogođenim tvrtkama da tijekom praznika budu na oprezu zbog ransomwarea i cyber napada. Postoji zabrinutost da će sve veći broj zlonamjernih aktera iskoristiti ranjivost na nove načine i dok velike tehnološke kompanije imaju sigurnosne timove koji će se nositi s potencijalnim prijetnjama, mnoge druge organizacije ih nemaju.
"Ono što me najviše brine su školski okruzi, bolnice, mjesta na kojima postoji samo jedna IT osoba koja radi na sigurnosti i koja nema vremena ili sigurnosnog budžeta ili alata. To su organizacije zbog kojih sam najviše zabrinuta, male organizacije s malim sigurnosnim proračunima", rekla je Katie Nickels, direktorica obavještajne službe u tvrtki za kibernetičku sigurnost Red Canary.