Μια ευπάθεια υπολογιστή που ανακαλύφθηκε πέρυσι σε ένα πανταχού παρών λογισμικό είναι ένα «ενδημικό» πρόβλημα που θα εγκυμονεί κινδύνους για την ασφάλεια για δυνητικά μια δεκαετία ή περισσότερο, σύμφωνα με μια νέα ομάδα κυβερνοασφάλειας που δημιουργήθηκε από Πρόεδρος Τζο Μπάιντεν.
Το Συμβούλιο Αναθεώρησης για την Ασφάλεια στον Κυβερνοχώρο ανέφερε σε έκθεσή του την Πέμπτη ότι, ενώ δεν υπάρχουν ενδείξεις κάποιας μεγάλης κυβερνοεπίθεσης λόγω του ελαττώματος του Log4j, θα εξακολουθήσει να «αξιοποιείται για τα επόμενα χρόνια».
«Το Log4j είναι ένα από τα πιο σοβαρά τρωτά σημεία λογισμικού στην ιστορία», είπε στους δημοσιογράφους την Τετάρτη ο πρόεδρος του διοικητικού συμβουλίου, ο υφυπουργός Εσωτερικής Ασφάλειας Ρομπ Σίλβερς.
Το ελάττωμα Log4j, που δημοσιοποιήθηκε στα τέλη του περασμένου έτους, επιτρέπει στους επιτιθέμενους που βασίζονται στο Διαδίκτυο να πάρουν εύκολα τον έλεγχο των πάντων, από συστήματα βιομηχανικού ελέγχου έως διακομιστές ιστού και ηλεκτρονικά είδη ευρείας κατανάλωσης. Τα πρώτα εμφανή σημάδια της εκμετάλλευσης του ελαττώματος εμφανίστηκαν στο Minecraft, ένα εξαιρετικά δημοφιλές διαδικτυακό παιχνίδι που ανήκει στη Microsoft.
Η ανακάλυψη του ελαττώματος προκάλεσε επείγουσες προειδοποιήσεις από κυβερνητικούς αξιωματούχους και τεράστιες προσπάθειες από επαγγελματίες της κυβερνοασφάλειας για την επιδιόρθωση ευάλωτων συστημάτων.
Το διοικητικό συμβούλιο δήλωσε την Πέμπτη ότι «κάπως εκπληκτικά» η εκμετάλλευση του σφάλματος Log4j είχε συμβεί σε χαμηλότερα επίπεδα από ό,τι είχαν προβλέψει οι ειδικοί. Το διοικητικό συμβούλιο είπε επίσης ότι δεν γνώριζε οποιεσδήποτε «σημαντικές» επιθέσεις Log4j σε συστήματα υποδομής ζωτικής σημασίας, αλλά σημείωσε ότι ορισμένες κυβερνοεπιθέσεις δεν αναφέρονται.
Το συμβούλιο είπε ότι οι μελλοντικές επιθέσεις είναι πιθανές σε μεγάλο βαθμό επειδή το Log4j ενσωματώνεται συνήθως με άλλο λογισμικό και μπορεί να είναι δύσκολο για τους οργανισμούς να βρουν να εκτελούνται στα συστήματά τους.
«Αυτή η εκδήλωση δεν έχει τελειώσει», είπε ο Σίλβερς.
Το Log4j, γραμμένο στη γλώσσα προγραμματισμού Java, καταγράφει τη δραστηριότητα των χρηστών σε υπολογιστές. Αναπτύχθηκε και συντηρείται από λίγους εθελοντές υπό την αιγίδα του ανοιχτού κώδικα Apache Software Foundation, είναι εξαιρετικά δημοφιλές στους προγραμματιστές εμπορικού λογισμικού.
Ένας ερευνητής ασφάλειας στον κινεζικό τεχνολογικό γίγαντα Alibaba ειδοποίησε το ίδρυμα στις 24 Νοεμβρίου. Χρειάστηκαν δύο εβδομάδες για να αναπτυχθεί και να κυκλοφορήσει μια επιδιόρθωση. Τα κινεζικά μέσα ενημέρωσης ανέφεραν ότι η κυβέρνηση τιμώρησε την Alibaba επειδή δεν ανέφερε το ελάττωμα νωρίτερα σε κρατικούς αξιωματούχους.
Το συμβούλιο δήλωσε την Πέμπτη ότι εντόπισε «ανησυχητικά στοιχεία» στην πολιτική της κινεζικής κυβέρνησης για αποκαλύψεις ευπάθειας, λέγοντας ότι θα μπορούσε να δώσει στους κινεζικούς κρατικούς χάκερ μια πρώιμη ματιά σε ελαττώματα υπολογιστή που θα μπορούσαν να χρησιμοποιήσουν για κακόβουλα μέσα, όπως η κλοπή εμπορικών μυστικών ή η κατασκοπεία αντιφρονούντων. Η κινεζική κυβέρνηση αρνείται εδώ και καιρό ότι έχει κάνει αδικοπραγία στον κυβερνοχώρο και είπε στο συμβούλιο ότι ενθαρρύνει τη βελτιωμένη ανταλλαγή πληροφοριών σχετικά με τα τρωτά σημεία του λογισμικού.
Το συμβούλιο πρόσφερε μια σειρά από συστάσεις για τον μετριασμό των επιπτώσεων του ελαττώματος Log4j καθώς και για τη βελτίωση της ασφάλειας στον κυβερνοχώρο γενικά. Αυτό περιλαμβάνει την πρόταση ότι τα πανεπιστήμια και τα κοινοτικά κολέγια κάνουν την εκπαίδευση στον κυβερνοχώρο απαραίτητο μέρος των προγραμμάτων σπουδών και πιστοποίησης της επιστήμης των υπολογιστών.
Το Συμβούλιο Αναθεώρησης Ασφάλειας στον Κυβερνοχώρο έχει διαμορφωθεί σύμφωνα με το Εθνικό Συμβούλιο Ασφάλειας Μεταφορών, το οποίο εξετάζει αεροπορικά δυστυχήματα και άλλα μεγάλα ατυχήματα και έλαβε εντολή από εκτελεστικό διάταγμα που υπέγραψε ο Μπάιντεν τον περασμένο Μάιο. Το 15μελές συμβούλιο αποτελείται από το FBI, την Εθνική Υπηρεσία Ασφαλείας και άλλους κυβερνητικούς αξιωματούχους καθώς και άτομα από τον ιδιωτικό τομέα. Ορισμένοι υποστηρικτές του νέου διοικητικού συμβουλίου επέκριναν το DHS ότι άργησε να το βάλει σε λειτουργία.
Το εκτελεστικό διάταγμα του Μπάιντεν έδωσε εντολή στο διοικητικό συμβούλιο να πραγματοποιήσει την πρώτη του ανασκόπηση σχετικά με τη μαζική ρωσική εκστρατεία κατασκοπείας στον κυβερνοχώρο, γνωστή ως SolarWinds. Ρώσοι χάκερ μπόρεσαν να παραβιάσουν αρκετές ομοσπονδιακές υπηρεσίες, συμπεριλαμβανομένων λογαριασμών που ανήκουν σε κορυφαίους αξιωματούχους κυβερνοασφάλειας στο DHS, αν και το πλήρες αποτέλεσμα αυτής της εκστρατείας είναι ακόμα ασαφές.
