Data e 9 dhjetorit 2021 mund të mbahet mend si dita kur njerëzimi përjetoi një nga dobësitë më serioze në historinë kibernetike. E meta Log4Shell në mjetin Log4j të Apache, i përdorur gjerësisht për regjistrimin e ngjarjeve të softuerit, përfaqëson një kërcënim, pasojat e të cilit ka të ngjarë të kenë pasoja në të ardhmen dhe për një kohë mjaft të gjatë.
Siç e kemi theksuar tashmë më lart, shkalla e ashpërsisë së këtij defekti përcaktohet nga kryqëzimi i dy faktorëve: përhapja e Log4j (është një mjet me burim të hapur që është përdorur në shumë aplikacione Java që nga viti 2014) dhe lehtësia e shfrytëzimi i vetë defektit që nuk kërkon asnjë lloj operacioni të sofistikuar dhe potencialisht mund të jetë brenda mundësive të pothuajse kujtdo.
Përhapja e tij, në veçanti, është një aspekt që ka një kuptim të dyfishtë: nga njëra anë mundësia, për kriminelët dhe sulmuesit, për të pasur një park shumë të madh të mundshëm viktimash, nga ana tjetër vështirësia e menaxherëve të sigurisë për të arritur të kuptojnë nëse dhe ku Log4j është aktualisht i pranishëm brenda aplikacioneve që duhet të menaxhojnë.
Ajo që ndodhi sapo Log4Shell u bë publik është një skenar që tashmë është parë: popullata e larmishme e hakerëve dhe kriminelëve nuk e vonoi përpjekjen për të shfrytëzuar të metën përpara se të aplikonte ndonjë arnim sigurie dhe kundërmasa të përshtatshme. Ndërsa instalimet e kriptominerëve dhe kompromiset e parashikueshme (por jo më pak serioze) nga ransomware u gjetën fillimisht, shqetësimet e vërteta janë për pasojat afatgjata të situatës.
Kompanitë e sigurisë së TI-së që po monitorojnë situatën, në fakt kanë gjetur tashmë praninë në fushën e kërcënimeve më të rrezikshme, përkatësisht grupeve më të sofistikuara të hakerëve (përfshirë ata në pagesën e qeverive dhe regjimeve shtypëse) që aktualisht janë në punë për të provuar. për të shfrytëzuar Log4Shell për të garantuar akses në rrjetet kompjuterike që do të përdoren në një kohë të mëvonshme. Qëllimi në këto raste nuk është të përfitoni shpejt nga dobësia për të mbledhur plaçkë monetare (siç është rasti, për shembull, me kriptominerët dhe ransomware), por të futni dhe fshehni një pikë aksesi brenda një rrjeti. – objektivi për t’u shfrytëzuar më vonë për qëllime të tjera.
Kësaj i shtohet perspektiva që shumë sisteme, për shkak të përdorimit të tyre kritik për misionin për të cilin është e nevojshme të garantohet vazhdimësia e shërbimit, nuk mund të përditësohen kurrë, si dhe shumë të tjera që thjesht mund t’i shpëtojnë edhe një faze verifikimi të ekzistenca e cenueshmërisë. Kjo nuk do të ishte një risi, pasi edhe sot në listat e dobësive më të shfrytëzuara ka disa që dolën në dritë disa vite më parë. Në këtë rast, duke pasur parasysh përhapjen e Log4j, rreziqet vetëm mund të përforcohen ndjeshëm.
Për shembull, një perspektivë sa fatkeqe aq edhe e mundshme është ajo e përfaqësuar nga mundësia e të ashtuquajturit “sulm i zinxhirit të furnizimit”, pra ato veprime ku një objektiv synon të përpiqet të shfrytëzojë hallkat më të dobëta në zinxhirin e tij të furnizimit si hyrje. pikë. Në këtë rast, edhe një kompani e madhe, me aftësi adekuate për t’iu përgjigjur kërcënimeve dhe dobësive kibernetike, mund të bjerë viktimë e hakerëve dhe kriminelëve që arrijnë të komprometojnë rrjetin e një prej furnizuesve të saj më pak skrupuloz. Gjithashtu në këtë rast nuk do të ishte një risi: mjafton të përmendim rastin e krimbit Stuxnet si shembull kryesor.
Historia e Log4Shell, dhe madje edhe para asaj të HeartBleed, përfaqëson një nga veçoritë më paradoksale të internetit sot: një rrjet që është bërë pjesë themelore e funksionimit të përditshëm të të gjithë botës dhe që bazohet në projekte me kod të hapur të menaxhuara në disa raste në baza plotësisht vullnetare. Projekte që shumë shpesh lindën thjesht si mjete personale, por që më pas, siç është rasti aktual, janë përdorur gjerësisht edhe nga realitete të mëdha tregtare pa marrë pjesë prej tyre as financiarisht, as nga pikëpamja e përpjekjeve zhvillimore dhe mirëmbajtjes.
Jen Easterly, drejtore e CISA-s në SHBA, e përshkroi Log4Shell si një nga dobësitë më serioze të parë ndonjëherë në karrierën e saj, nëse jo më seriozja. Dyshimi është se Homer Simpson mund të ketë të drejtë: “deri tani!”./ zero1.al
Discussion about this post