Laka meta za hakere: Softverski bag Log4j je ozbiljan rizik za čitav internet

Velika bezbednosna greška otkrivena je u delu softvera pod nazivom Log4j, koji koriste milioni veb servera. Greška ih čini ranjivim na napade, a timovi širom sveta se trude da poprave  zahvaćene sisteme pre nego što ih hakeri zloupotrebe. „Internet je trenutno u plamenu,“ kaže Adam Mejers iz bezbednosne kompanije Crowdstrike.

Problem sa Log4j prvi put je primećen u video igrici Minecraft, ali je ubrzo postalo očigledno da je njegov efekat daleko širi. Ovaj softver se koristi u milionima veb aplikacija, uključujući Eplov iCloud. Napadi koji eksploatišu grešku, poznati kao Log4Shell, traju od 9. decembra, kaže iz Crowdstrike-a. Direktorka američke Agencije za sajber bezbednost i infrastrukturu Džen Isterli kaže da bezbednosni propust predstavlja „ozbiljan rizik“ za internet.

Gotovo svaki deo softvera koji koristite vodi evidenciju (logove) o greškama i drugim važnim događajima. Umesto da kreiraju sopstveni sistem za logovanje, mnogi programeri koriste besplatni Log4j, što ga čini jednim od najučestalijih paketa za logovanje na svetu. Iako je mnogima uštedeo vreme i energiju, popularnost Log4j-a sada je postala globalna bezbednosna pretnja. Greška utiče na milione delića softvera koji rade na milionima mašina sa kojima svi komuniciramo.

Napadači mogu da prevare Log4j da pokrene destruktivni kod tako što ga nateraju da skladišti logove koji sadrže određene linije teksta. Način na koji hakeri to rade razlikuje se od programa do programa, ali u Minecraft-u je to navodno urađeno preko boksova za ćaskanje. Potom se kreira log za arhiviranje svake od ovih poruka, i ako korisnici razmene rizičan tekst, on će biti ubačen u evidenciju. U drugom slučaju, utvrđeno je da Eplovi serveri kreiraju logove koji beleže ime vlasnika Ajfona koje je navedeno u podešavanjima. Kako god da se ovaj trik izvede, nakon toga napadač može da pokrene bilo koji kod na serveru, uključujući krađu ili brisanje osetljivih podataka.

Otvoreni softver svako može da vidi, pokrene, pa čak i da uređuje. Ovakva transparentnost ga čini robusnijim i sigurnijim, jer brojni programeri rade na njemu. Ali nijedan softver ne može biti 100% bezbedan. Bag koji omogućava Log4Shell prisutan je u kodu već neko vreme, ali ga je tek krajem novembra otkrio radnik kineske računarske kompanije Alibaba Cloud. On je odmah alarmirao Apache Software, američku neprofitnu organizaciju koja nadgleda stotine projekata otvorenog koda, uključujući Log4j, dajući joj vremena da reši problem pre nego što izađe u javnost.

Ovo je standardna praksa za ovakve greške, mada ima lovaca na bagove koji softverske falinke prodaju hakerima, što oni mogu da koriste mesecima ili godinama, uključujući i špijunski softver koji se prodaje vladama širom sveta. Apache je situaciju ocenio kao „kritičnu“ i požurio da razvije rešenje. Sada stotine hiljada IT timova pokušavaju da ažuriraju Log4j na verziju 2.15.0, što uglavnom rešava problem. Timovi će takođe morati da skeniraju svoje kodove tražeći potencijalne propuste i pazeći na pokušaje hakovanja.

Iako se ovakvi problemi brzo otklanjaju, potrebno je vreme da svi primene rešenja. Računari i veb servisi su danas toliko složeni i slojeviti da su potrebni meseci za kompletno ažuriranje. I uvek će postojati slučajevi koji to nikada ne urade. Postoje prašnjavi ćoškovi interneta koji rade na zastarelom hardveru i ranjivom kodu, što hakeri mogu lako da iskoriste.

(NewScientist-ZTP, foto: Getty)

Ostavi komentar

Vaša adresa e-pošte neće biti objavljena.