Ένα χρόνο αργότερα, αυτή η βάναυση ευπάθεια Log4j εξακολουθεί να ελλοχεύει


ΠΡΙΝ ΕΝΑ ΧΡΟΝΟ, καθώς η Ρωσία συγκέντρωνε στρατεύματα στα σύνορά της με την Ουκρανία και η παραλλαγή του Covid-19 Omicron άρχισε να αυξάνεται σε όλο τον κόσμο, το Ίδρυμα Λογισμικού Apache αποκάλυψε μια ευπάθεια που προκάλεσε φρενίτιδα στην παγκόσμια βιομηχανία τεχνολογίας. Το σφάλμα, γνωστό ως Log4Shell, βρισκόταν στην πανταχού παρούσα βιβλιοθήκη καταγραφής ανοιχτού κώδικα Log4j και εξέθεσε ένα ευρύ φάσμα εφαρμογών και υπηρεσιών—από δημοφιλείς πλατφόρμες καταναλωτών και επιχειρήσεων έως κρίσιμες υποδομές και συσκευές internet-of-things. Τώρα, μετά από εβδομάδες εντατικής αποκατάστασης τον περασμένο Δεκέμβριο και ένα χρόνο αθροιστικής προόδου στην επιδιόρθωση, το Log4Shell δεν αποτελεί πλέον την καθολική απειλή που έκανε κάποτε. Ωστόσο, οι ερευνητές προειδοποιούν ότι η ευπάθεια εξακολουθεί να είναι παρούσα σε πάρα πολλά συστήματα παγκοσμίως και ότι οι επιτιθέμενοι θα την εκμεταλλεύονται με επιτυχία για χρόνια.

Πολλά κρίσιμα τρωτά σημεία ανακαλύπτονται κάθε χρόνο που είναι εξαιρετικά επείγουσας ανάγκης να αντιμετωπιστούν, αλλά το Log4Shell ήταν ασυνήθιστο επειδή ήταν τόσο εύκολο να το εκμεταλλευτείς όπου κι αν υπήρχε, με λίγες προειδοποιήσεις ή λεπτές λεπτομέρειες για την πλοήγηση των επιτιθέμενων. Οι προγραμματιστές χρησιμοποιούν βοηθητικά προγράμματα καταγραφής για την καταγραφή λειτουργιών σε μια δεδομένη εφαρμογή. Το μόνο που χρειάζεται να κάνουν οι εισβολείς για να εκμεταλλευτούν το Log4Shell είναι να βάλουν το σύστημα να καταγράψει μια ειδική συμβολοσειρά κώδικα. Από εκεί, μπορούν να πάρουν τον έλεγχο του στόχου τους για να εγκαταστήσουν κακόβουλο λογισμικό ή να πραγματοποιήσουν άλλες ψηφιακές επιθέσεις. Τα καταγραφικά θα καταγραφούν, επομένως η εισαγωγή του κακόβουλου αποσπάσματος μπορεί να είναι τόσο εύκολη όσο η συμπερίληψή του σε ένα όνομα χρήστη λογαριασμού ή η αποστολή του σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου.

«Η καταγραφή είναι θεμελιώδης ουσιαστικά για οποιαδήποτε λειτουργία λογισμικού ή υλικού υπολογιστή. Είτε πρόκειται για μηχάνημα φλεβοτομής είτε για διακομιστή εφαρμογών, η καταγραφή θα είναι παρούσα», λέει ο David Nalley, πρόεδρος του μη κερδοσκοπικού ιδρύματος λογισμικού Apache. «Γνωρίζαμε ότι το Log4j ήταν ευρέως διαδεδομένο, είδαμε τους αριθμούς λήψης, αλλά είναι δύσκολο να το κατανοήσουμε πλήρως, καθώς στον ανοιχτό κώδικα δεν πουλάτε ένα προϊόν και δεν παρακολουθείτε συμβόλαια. Δεν νομίζω ότι το εκτιμάτε πλήρως μέχρι να έχετε πλήρη λογιστική για το πού βρίσκεται το λογισμικό, όλα όσα κάνει και ποιος το χρησιμοποιεί. Και νομίζω ότι το γεγονός ότι ήταν τόσο απίστευτα πανταχού παρόν ήταν ένας παράγοντας που όλοι αντέδρασαν τόσο άμεσα. Είναι λίγο ταπεινό, ειλικρινά».

Η κατάσταση αντηχεί με μεγαλύτερες συζητήσεις σχετικά με την αλυσίδα εφοδιασμού λογισμικού και το γεγονός ότι πολλοί οργανισμοί δεν έχουν επαρκή λογιστική για όλο το λογισμικό που χρησιμοποιούν στα συστήματά τους, γεγονός που καθιστά δυσκολότερο τον εντοπισμό και την επιδιόρθωση ευάλωτου κώδικα. Μέρος της πρόκλησης, ωστόσο, είναι ότι ακόμα κι αν ένας οργανισμός έχει μια λίστα με όλο το λογισμικό που αγόρασε ή έχει αναπτύξει, αυτά τα προγράμματα μπορούν να περιέχουν άλλα στοιχεία λογισμικού—ιδιαίτερα βιβλιοθήκες ανοιχτού κώδικα και βοηθητικά προγράμματα όπως το Log4j—τα οποία δεν είναι ο τελικός πελάτης». Δεν γνώριζα συγκεκριμένα και δεν επέλεξα σκόπιμα. Αυτό δημιουργεί το κυματιστικό αποτέλεσμα μιας ευπάθειας όπως το Log4Shell, καθώς και τη μεγάλη ουρά της επιδιόρθωσης, στην οποία οι οργανισμοί είτε δεν γνωρίζουν ότι έχουν έκθεση είτε δεν αναγνωρίζουν τον επείγοντα χαρακτήρα της επένδυσης σε αναβαθμίσεις.

Εν τω μεταξύ, οι επιτιθέμενοι εξακολουθούν να εκμεταλλεύονται ενεργά το Log4Shell οπουδήποτε μπορούν, από εγκληματίες χάκερ που αναζητούν διέξοδο στα συστήματα στόχων μέχρι Κινέζους και Ιρανούς επιτιθέμενους που υποστηρίζονται από το κράτος που χρησιμοποιούν την εκμετάλλευση στις εκστρατείες κατασκοπείας τους.

"Το Log4Shell είναι ένα που θα εμφανιστεί σε παραβιάσεις δεδομένων για την επόμενη δεκαετία ως μέρος της βασικής αιτίας - το μόνο που χρειάζεται είναι μια περίπτωση του Log4Shell για να είναι ευάλωτο", λέει ο Dan Lorenc, Διευθύνων Σύμβουλος της εταιρείας ασφάλειας εφοδιαστικής αλυσίδας λογισμικού Chainguard. . «Ευτυχώς, οι περισσότεροι καταναλωτές δεν ένιωσαν αντίκτυπο πέρυσι, επειδή η σοβαρότητά του ήταν τόσο υψηλή που οι άνθρωποι αγωνίστηκαν σε αυτό το τρομερό Σαββατοκύριακο και κατά τη διάρκεια των διακοπών σε έναν αγώνα με επιθετικούς. Αλλά υπάρχει ένας οικονομικός αντίκτυπος σε αυτό, ένα τεράστιο κόστος προσπάθειας για να γίνει αυτή η αποκατάσταση. Και δεν θα μπορέσουμε να αναμετρηθούμε με όλους για κάτι που είναι έστω και ελαφρώς λιγότερο σοβαρό».

Ο Apache έπρεπε να προσπαθήσει στις αρχές Δεκεμβρίου 2021 για να είναι έτοιμος να κυκλοφορήσει ενημερώσεις κώδικα για το Log4Shell όταν αποκάλυψε δημόσια την κατάσταση στις 9 Δεκεμβρίου του περασμένου έτους. Ως αποτέλεσμα, οι ερευνητές βρήκαν γρήγορα περιβλήματα άκρων και λύσεις για τα patches, και ο Apache αναγκάστηκε να απελευθερώσει πολλαπλές επαναλήψεις, γεγονός που επέτεινε τη σύγχυση.

«Αυτό το πράγμα ήταν παντού, πραγματικά παντού», λέει ο Jonathan Leitschuh, ένας ερευνητής ασφάλειας ανοιχτού κώδικα. «Οι επιτιθέμενοι το πηδούσαν, η κοινότητα ασφαλείας το πηδούσε, ωφέλιμα φορτία πετούσαν παντού».

Οι ερευνητές λένε, ωστόσο, ότι η συνολική απάντηση του Apache ήταν σταθερή. Ο Nalley προσθέτει ότι ο Apache έκανε αλλαγές και βελτιώσεις ως αντίδραση στο έπος του Log4Shell και προσέλαβε αφοσιωμένο προσωπικό για να επεκτείνει την υποστήριξη ασφαλείας που μπορεί να προσφέρει σε έργα ανοιχτού κώδικα για να εντοπίσουν σφάλματα πριν αποσταλούν σε κώδικα και να ανταποκριθούν σε περιστατικά όταν είναι απαραίτητο.

«Σε σύντομο χρονικό διάστημα, δύο εβδομάδες, είχαμε διορθώσεις, κάτι που είναι υπέροχο», λέει ο Nalley. «Κατά κάποιους τρόπους, αυτή δεν είναι μια νέα κατάσταση για εμάς και θα ήθελα να πω ότι το αντιμετωπίσαμε τέλεια. Αλλά η πραγματικότητα είναι, ακόμη και στο Ίδρυμα Λογισμικού Apache, αυτό υπογράμμισε την ευθύνη που έχουμε απέναντι σε όλους όσους καταναλώνουν το λογισμικό μας».

Στο μέλλον, η πιο ανησυχητική πτυχή της κατάστασης είναι ότι, ακόμη και ένα χρόνο αργότερα, περίπου το ένα τέταρτο ή περισσότερες από τις λήψεις Log4j από το αποθετήριο Apache Maven Central και άλλους διακομιστές αποθετηρίου εξακολουθούν να είναι γεμάτοι ευάλωτες εκδόσεις του Log4j. Με άλλα λόγια, οι προγραμματιστές λογισμικού εξακολουθούν να διατηρούν ενεργά συστήματα που εκτελούν ευάλωτες εκδόσεις του βοηθητικού προγράμματος ή ακόμη και να κατασκευάζουν νέο λογισμικό που είναι ευάλωτο.

«Η πραγματικότητα είναι ότι τις περισσότερες φορές, όταν οι άνθρωποι επιλέγουν ένα ευάλωτο στοιχείο λογισμικού ανοιχτού κώδικα, υπάρχει ήδη μια λύση διαθέσιμη», λέει ο Brian Fox, συνιδρυτής και επικεφαλής τεχνολογίας της εταιρείας εφοδιαστικής αλυσίδας λογισμικού Sonatype, η οποία διαχειρίζεται τη Maven. Central και είναι επίσης τρίτος πάροχος αποθετηρίου Apache. "Είμαι εδώ και πολύ καιρό και είμαι κουρασμένος, αλλά αυτό είναι πραγματικά συγκλονιστικό. Και η μόνη εξήγηση είναι ότι οι άνθρωποι πραγματικά δεν καταλαβαίνουν τι υπάρχει μέσα στο λογισμικό τους .»

Η Fox λέει ότι μετά τον αρχικό αγώνα για την αντιμετώπιση του Log4Shell, οι λήψεις εκδόσεων στο Maven Central και σε άλλα αποθετήρια έφτασαν στο ράφι όπου περίπου το 60 τοις εκατό των λήψεων αφορούσαν ενημερωμένες εκδόσεις και το 40 τοις εκατό ήταν ακόμη ευάλωτων εκδόσεων. Τους τελευταίους περίπου τρεις μήνες, οι Fox και Apache's Nalley λένε ότι είδαν τους αριθμούς να πέφτουν για πρώτη φορά σε περίπου 75/25 τοις εκατό. Όπως το θέτει η Fox, ωστόσο, «Μετά από ένα χρόνο, το ένα τέταρτο των λήψεων είναι ακόμα πολύ τρομερό».

«Μερικοί άνθρωποι πιστεύουν ότι το Log4j ήταν μια μεγάλη αφύπνιση για τη βιομηχανία, μια συλλογική φρίκη και αφύπνιση», λέει. «Και μας βοήθησε να επεκτείνουμε πραγματικά το μήνυμα για την ασφάλεια της εφοδιαστικής αλυσίδας λογισμικού, επειδή δεν ήταν πλέον άνθρωποι σε άρνηση. Αυτό για το οποίο όλοι λέγαμε ήταν πραγματικό τώρα» το ζούσαμε όλοι. Αλλά η πίεση των ομοτίμων και μόνο του Log4j θα έπρεπε να είχε αναγκάσει όλους να αναβαθμιστούν, οπότε αν δεν μπορούμε να φτάσουμε αυτό το ένα στο 100%, τι γίνεται με όλα τα άλλα;»

Για τους ερευνητές ασφάλειας, το ερώτημα πώς να αντιμετωπίσετε τη μακριά ουρά μιας ευπάθειας είναι πάντα παρούσα. Και το ζήτημα δεν ισχύει μόνο για λογισμικό ανοιχτού κώδικα, αλλά και για ιδιόκτητα συστήματα. Απλώς σκεφτείτε πόσα χρόνια χρειάστηκαν για να μετακινήσετε το τελευταίο 10 τοις εκατό των χρηστών των Windows εκτός XP.

«Με αυτά τα χειρότερα σενάρια—συμβάντα μαύρου κύκνου σε ανοιχτό κώδικα—απλώς ξέρετε ότι θα συνεχίσουν να συμβαίνουν, επειδή η κοινότητα έχει γίνει πολύ καλύτερη στην αντίδραση, αλλά ο ρυθμός ανάπτυξης ανοιχτού κώδικα είναι ακόμη πιο γρήγορος». Λέει ο Lorenc του ChainGuard. «Έτσι πρέπει να βρούμε την ισορροπία πρόληψης και μετριασμού και να συνεχίσουμε να καταβάλλουμε προσπάθειες για να μειώσουμε τη συχνότητα όσο το δυνατόν περισσότερο. Είναι σαν το μιμίδιο των Simpsons όταν ο Μπαρτ λέει, «Αυτή είναι η χειρότερη μέρα της ζωής μου.» Και ο Όμηρος λέει όχι, «Η χειρότερη μέρα της ζωής σου μέχρι στιγμής».

Comments

Post a Comment

Popular posts from this blog

Αυτή είναι πραγματικά η καλύτερη τσάντα που κατασκευάστηκε ποτέ

Image
  ΘΑ ΠΡΕΠΕΙ να σας δώσω δίκαιη προειδοποίηση: Πρόκειται να διαβάσετε ένα άρθρο για το πώς ερωτεύτηκα μια τσάντα. Αλλά θα αξίζει τον κόπο, γιατί θα μεταδώσω μερικές πραγματικά πολύτιμες πληροφορίες. Βλέπετε, παρά τη ζωή που ξόδεψα γράφοντας για εξοπλισμό, εξακολουθώ να δυσκολεύομαι να περιορίσω την επιλογή μου όταν με ρωτήσω κατηγορηματικά, ας πούμε, "Ποια είναι τα καλύτερα ακουστικά;" Θα νόμιζες ότι το ήξερα. Αλλά δεν το κάνω. Υπάρχουν πάρα πολλές μεταβλητές. Ποιος είναι ο προϋπολογισμός σας; Ενσύρματο ή ασύρματο; Στυλ ή ουσία; Είστε από αυτούς που τρέχουν; Έχετε αυτιά Spock ή το συνηθισμένο είδος; Το ίδιο μπορούμε να πούμε για τις τηλεοράσεις. Στην πραγματικότητα, είναι χειρότερο για τις τηλεοράσεις. Μη με ρωτήσετε ποτέ για τηλεοράσεις. Προτιμώ να φάω τα πόδια μου παρά να σου δώσω συμβουλές στην τηλεόραση. Αν το θέλεις, ρώτησε τον Πάρκερ. Είναι ένας άνθρωπος ευλογημένος με απείρως περισσότερη υπομονή από εμένα. Μπορώ να προτείνω μια τσάντα, ωστόσο. Αδιαμφισβήτητα, ολόψυχα κα...
Read more

Το Bote Hangout μετατρέπει κάθε συγκέντρωση σε πάρτι στην πισίνα

Image
  ΤΑ ΠΑΙΔΙΑ ΜΟΥ ΕΙΝΑΙ 5 και 7, και όπως πολλά παιδιά της ηλικίας τους, λατρεύουν το νερό. Αλλά δεν είμαστε πλούσιοι - δεν έχουμε ούτε πισίνα στην αυλή μας ούτε παραθαλάσσιο σπίτι στις Σεϋχέλλες. Ζούμε επίσης στο Πόρτλαντ του Όρεγκον, όπου η πρόσβαση σε πισίνες είναι εξαιρετικά περιορισμένη. Αλλά έχουμε βρει έναν τρόπο για να το κάνουμε να λειτουργήσει, και αυτός είναι με το Hangout Suite του Bote. Είναι ένας φουσκωτός και όμορφος πλωτήρας που τοποθετείται στη σχάρα του αυτοκινήτου μου. Αντί να προσπαθώ να νοικιάσω μια πισίνα στο Swimply ή να περιμένω στην ουρά για μια ώρα για τη σειρά μας να βουτήξουμε σε μια ζεστή δημόσια πισίνα για λίγα λεπτά, μπορώ να οδηγήσω με την οικογένειά μου στην πλησιέστερη λίμνη. Εκεί, φουσκώνουμε την αποβάθρα Hangout και την σπρώχνουμε από την ακτή. Το υπόλοιπο απόγευμα το περνάμε κωπηλατώντας μπρος-πίσω, χαλαρώνοντας στον ήλιο, κρεμώντας τα πόδια μας σε καθαρά αλπικά νερά και τρώγοντας σνακ. Κάθε άτομο που έχουμε βγάλει στην αποβάθρα ρωτά: «Πώς μπορούμ...
Read more

Ένας έξυπνος τρόπος για να προλάβετε το επόμενο κύμα γρίπης

Image
ΟΛΟΙ, ΦΑΙΝΕΤΑΙ, είναι άρρωστοι αυτή τη στιγμή. Πηγαίνετε σε ένα γραφείο ή ένα σχολείο και το πιθανότερο είναι ότι θα βρείτε πολλές κενές θέσεις, καθώς όλοι είναι στρωμένοι με πυρετό ή έντονο κρύο. Τα ποσοστά των ασθενειών που μοιάζουν με γρίπη είναι υψηλά σε όλο το βόρειο ημισφαίριο και δεν φαίνεται να έχουν κορυφωθεί. Με ένα στα τέσσερα τεστ γρίπης να είναι θετικά στις Ηνωμένες Πολιτείες και περίπου ένα στα επτά στο Ηνωμένο Βασίλειο, πολλοί άνθρωποι είναι εκτός λειτουργίας. Στις ΗΠΑ, υπολογίζεται ότι τουλάχιστον 6 εκατομμύρια άνθρωποι είχαν επισκεφθεί γιατρό και 120.000 είχαν νοσηλευτεί μέχρι τις 3 Δεκεμβρίου. Αν είχαμε μια πιο λεπτομερή άποψη για το πώς δημιουργήθηκαν οι υποθέσεις φέτος, τα πράγματα μπορεί να μην είχαν γίνει τόσο άσχημα. Ο ακριβής εντοπισμός των πρώιμων σταδίων μιας επιδημίας μπορεί να δείξει στους ανθρώπους —σε πραγματικό χρόνο, με βάση έναν ταχυδρομικό κώδικα— πού αυξάνονται τα κρούσματα και να τους βοηθήσει να αποφύγουν την έκθεση. Τα πρώιμα σήματα για τα επίπεδα ...
Read more