Log4j: почему этот масштабный дефект безопасности влияет почти на весь интернет
Серьезная уязвимость в системе кибербезопасности затронула почти весь Интернет, в результате чего все — от финансовых учреждений до правительственных организаций — бросились исправлять свои системы, прежде чем киберпреступники и национальные государства смогут начать кибератаки.
Известный как уязвимость Log4j, дефект затрагивает часть программного обеспечения для ведения журналов с открытым исходным кодом, которое позволяет разработчикам понять, как функционируют их программы. Идея заключается в том, чтобы помочь компаниям понять потенциальные ошибки или проблемы с производительностью в их собственном программном обеспечении.
Но Log4j, который является частью программного обеспечения, предлагаемого Apache Software Foundation с открытым исходным кодом, может быть использован, чтобы позволить злоумышленникам захватить компьютеры и сети любой организации, использующей эту программу.
Патчи уже выпущены, но их применение — это совсем другая история. Организации, будь то государственные или частные, как известно, медленно обновляют свое программное обеспечение.
«Это очень, очень серьезная проблема», — сказал Yahoo Finance доцент инженерной школы Тандон Нью-Йоркского университета Джастин Каппос. «Поскольку это часть цепочки поставок программного обеспечения, могут быть затронуты многие различные части программного обеспечения».
Опасение заключается в том, что этот недостаток может быть использован злоумышленниками для получения удаленного контроля над любой непропатченной системой и использования ее как своей собственной. Это, по словам экспертов, может дать киберпреступникам возможность делать все — от кражи пользовательских данных до взятия под контроль реальной инфраструктуры.
Уязвимость Log4j опасна по двум причинам: насколько широко используется это программное обеспечение, и как злоумышленники могут воспользоваться этим недостатком.
«Если у вас есть уязвимость, и я использую ее, это означает, что я могу запустить свой код на вашей машине», — объяснил Херб Лин, старший научный сотрудник Центра международной безопасности и сотрудничества при Стэнфордском университете. «Теперь я как будто нахожусь на вашей машине и могу делать все, что можете делать вы».
По словам Лина, это может включать такие действия, как кража электронной почты, уничтожение файлов и установка программ-выкупов. И на этом потенциальный ущерб не заканчивается.
«Теперь я могу взять под контроль генератор, к которому подключен ваш компьютер, или телефонный коммутатор, или химический завод и так далее и тому подобное», — сказал Лин. «Вот в чем проблема. Уязвимость возникает из-за того, что этот код был частью миллионов, миллионов и миллионов установок по всему миру».
Еще одной серьезной проблемой является тот факт, что вы, как частное лицо, не можете контролировать, быстро ли интернет-компании, которым вы доверяете защиту своих файлов, установят соответствующие исправления.
«Если в Microsoft Word есть ошибка, я могу пойти и сказать: «О, я не использую Microsoft Word. Мне не нужно об этом беспокоиться», верно? Но здесь проблема в том, что вы можете даже не знать, где используется программное обеспечение», — сказал Каппос.
По данным группы анализа угроз Microsoft, большинство атак, связанных с уязвимостью Log4j, были связаны с попытками сканирования. Это означает, что злоумышленники пытаются выяснить, уязвимы ли потенциальные жертвы для атаки.
Представьте, что грабитель пробует замки дверей ряда автомобилей, припаркованных на темной улице. Киберпреступники, по сути, пытаются увидеть, кто запер свои двери, а кто нет.
Некоторые хакеры, тем временем, уже используют этот недостаток для проведения атак, включая установку криптовалютных майнеров на машины жертв, кражу учетных данных пользователей и получение данных из взломанных систем.
Microsoft (MSFT) утверждает, что группы в Турции, Китае, Иране и Северной Корее также разрабатывают средства для использования дефекта Log4j. А некоторые иранские и китайские группы уже используют этот эксплойт для усиления собственных возможностей кибератак.
Агентство по кибербезопасности и инфраструктурной безопасности Министерства внутренней безопасности уже приказало федеральным гражданским агентствам внести исправления в свои системы и рекомендовало сделать это и нефедеральным партнерам.
Устранение проблемы, подобной дефекту Log4j, требует, чтобы компании, использующие это программное обеспечение, загрузили соответствующий патч. Но для внедрения новейшего программного обеспечения компаниям потребуется время. Это связано с тем, что крупные организации должны также убедиться, что исправление не повлияет на их собственные программы.
Более циничным является тот факт, что некоторые компании просто не следуют лучшим практикам кибербезопасности и поэтому не ставят своевременные заплатки на свои системы, если вообще ставят.
Что вы можете сделать? Ничего, на самом деле. Недостаток Log4j — это не то, что может устранить большинство отдельных пользователей. Компании, которые хранят свою информацию, должны самостоятельно устранить уязвимость. А если они этого не сделают, то ваши данные могут попасть в открытый доступ.
Подпишитесь на информационный бюллетень Yahoo Finance Tech
