Эксперты нашли «самую серьезную» уязвимость в истории интернета. Мы в опасности? Что делать? Объясняем простым языком
IT-индустрия25 декабря 2021, 07:03
24 ноября в 14:51 участники проекта по разработке ПО с открытым исходным кодом получили тревожное электронное письмо. Содержимое письма угрожало спровоцировать массовые кибератаки по всему миру.
«Я хочу сообщить об ошибке безопасности», — написал Чен Чжаоцзюнь, сотрудник группы облачной безопасности Alibaba Group Holding Ltd. Он объяснил, что с помощью распространенного программного инструмента Log4j хакер может добиться удаленного управления компьютером жертвы.
Подпишитесь на NV Премиум и читайте без ограничений
Нам необходима ваша поддержка, чтобы заниматься качественной журналистикой
«Уязвимость log4j — самая серьезная уязвимость, которую я видел за свою многолетнюю карьеру», — говорит Джен Истерли, директор Агентства по кибербезопасности и безопасности инфраструктуры США в интервью CNBC.
Что такое log4j? Как уязвимостью могут воспользоваться хакеры? Почему представители IT-индустрии так паникуют и стоит ли из-за уязвимости беспокоиться обычным пользователям?
Что такое Log4j?
Log4j — очень старый, простой в использовании инструмент для ведения журнала для языка программирования Java (Log4j = Log for Java = журнал для Java). Это фрагмент кода, который позволяет приложениям отслеживать действия пользователей. Он достаточно популярный, поскольку давно известен и легок в использовании. Поэтому многие инженеры при разработке новой программы используют log4j вместо того, чтобы придумывать свой код для ведения журнала.
Почему уязвимость считается критической?
Все дело в масштабах. Представьте, что все неэлектронные замки вдруг перестали быть эффективными и открываются без ключа. Пройтись по миллионам зданий, чтобы заменить замки на электронные — не самое легкое задание, на которое уйдет много сил и ресурсов.
Язык программирования Java является одним из самых распространенных способов написания программного обеспечения — особенно если речь идет об относительно старых программах, объясняет WSJ. Огромная часть компьютерного кода, который поддерживает жизнь современного интернета, написан на Java и содержит log4j.
Хакеры внезапно получили возможность проникнуть практически куда-угодно — под угрозой находятся не только Google, Twitter, Microsoft, IBM, Amazon и многие другие компании, но и устройства обычных пользователей, подключенные к интернету. Уязвимость, получившая название Log4Shell, дает хакерам доступ к любой системе, которым не придется обходить все средства защиты.
Это не значит, что злоумышленники уже завтра взломают весь мир. Однако у них появилась новая возможность это сделать — и это проблема.
Как работает уязвимость?
Обычно никакие «обычные» действия пользователей вроде комментирования, просмотра видео или проверки входящих сообщений на сайте никак не могут повлиять на работу системы. Если вы напишете в комментариях «Удалить все», система, обрабатывающая текст вашего комментария, не будет воспринимать его как настоящую команду к удалению содержимого всего сайта.
Однако log4j может расценить некоторые сообщения как команду и дать злоумышленникам доступ к сердцу программы и использовать уязвимость удаленного выполнения кода на серверах, использующих log4j. Это значит, что хакер буквально может приказать зараженному компьютеру скачать вредоносное ПО — и он это сделает без какой-либо возможности пользователя повлиять на это.
Журналы считались достаточно безопасной и простой активностью, которая не должна была привести к такой проблеме. Дело еще и в том, что на самом деле мы и представить не можем, сколько людей могли знать об уязвимости log4j и как долго это продолжалось до того, как проблема вскрылась и компании начали выпускать обновления, чтобы залатать дыру.
Что делают компании для устранения уязвимости?
До сих пор непонятно, насколько уязвимость повлияла на работу приложений, поскольку log4j — очень распространенный инструмент. Поэтому многие эксперты по кибербезопасности вместо рождественских каникул бросились исправлять уязвимость. По словам одного из сотрудников Google, 500 инженеров компании просматривали кучу кода, чтобы проверить его. Напряженная работа породила кучу мемов от программистов, сетующих на адские дни на работе.
Обновлять log4j три раза вообще ненапряжно. Дейв, 28 лет.
Apache — крупнейший веб-сервер Java — выпустил сразу несколько обновлений, призванных прикрыть брешь Log4Shell. Однако из-за срочности, эти решения были неидеальными — закрывая основную уязвимость, они приводили к новым проблемам. Тем не менее, с главной проблемой программисты справились — исходная уязвимость исправляется обновлениями, и теперь дело за инженерами компаний, которые используют потенциально опасное ПО.
Тем не менее, многим компаниям придется бороться с проблемой самостоятельно, так как они используют более старые версии Java. Кроме того, компаниям важно сохранить доступ к журналу, чтобы отслеживать работу своих программ.
Проблема возникает для больших компаний, в основе работы которых лежат огромные коды, подчеркивает Google. Инженерам приходится проходить сквозь несколько уровней, исправляя каждый из них, чтобы исправление уязвимости не сломало работу основного ПО. Это — очень тяжелый и достаточно долгий процесс.
«Развитые в области безопасности организации начнут пытаться оценить свою уязвимость в течение нескольких часов после подобного эксплойта, но некоторым организациям потребуется несколько недель, а некоторые и вовсе никогда не доберутся до него. Интернет горит, это дерьмо везде. И я имею ввиду буквально — везде», — говорит в интервью Wired на условиях анонимности инженер по безопасности из крупной компании-разработчика программного обеспечения.
Насколько активно уязвимостью пользуются хакеры?
Конечно же, злоумышленники приступили к изучению Log4Shell так же активно, как и эксперты по кибербезопасности. Компания Check Point, производящая программное обеспечение для кибербезопасности отмечает в своем блоге, что хакеры пытались использовать уязвимость, чтобы взять под контроль почти в половину всех корпоративных сетей по всему миру.
Вице-президент компании по кибербезопасности Trend Micro Уильям Малик говорит, что хакеры вряд ли знали об уязвимости, поскольку эксперты по безопасности заметили бы ее использование раньше. Однако это не означает, что опытные злоумышленники, работающие на правительство США, России, Китая или Израиля, не пытались воспользоваться ею ранее.
Многие хакеры не пользуются уязвимостью сразу же — они оставляют бекдоры, которые позволяют им получить доступ ко взломанной системе даже после устранения первоначальной проблемы с log4j. Это будет отдельная задача для экспертов по кибербезопасности, ведь фактически это спрятанная глубоко внутри кода бомба, которая может рвануть когда о проблеме все давно забудут. Log4j может стать проблемой на долгие годы.
Большая часть хакерских атак планировала захват компьютеров для майнинга криптовалют. Однако 15 декабря была зафиксирована первая политическая атака — иранские хакеры из группировки Charming Kitten пытались получить доступ к критической инфраструктуре Израиля.
В понедельник правительство Бельгии отключило часть своих сетей из-за того, что хакеры попытались использовать log4j и взломать правительственные системы.
Также среди экспертов по кибербезопасности активно обсуждается потенциальное создание червя, который самостоятельно использовал бы уязвимость Log4Shell. Грубо говоря, это программа, которая распространяется сама по себе, загружая в систему все новые и новые версии себя, становясь «бессмертной», и постепенно захватывая другие компьютеры и серверы.
Сейчас единого мнения нет — пока одни рисуют апокалиптические картины обрушения интернета, другие уверяют, что на создание червя уйдет слишком много времени, которое хакеры сейчас не могут себе позволить из-за активной работы по устранению уязвимости. Кроме того, создание такой программы — технически сложное задание, которое не под силу многим злоумышленникам.
Технический директор службы компьютерной безопасности BreachQuest Джейк Уильямс объясняет, что причин для паники нет — большинство серверов, уязвимых для Log4Shell, будут запускать уязвимый процесс с очень ограниченными разрешениями. Из-за этого потенциальный червь не может обеспечить постоянство при перезапуске процесса.
Что делать обычным пользователям?
Фактически, ни на что повлиять у нас нет возможности. Компании заинтересованы в исправлении уязвимости как можно быстрее, а потому пользователям остается лишь следить за обновлениями и устанавливать их по мере доступности.
Наше дело простое и ограничивается базовыми правилами безопасности в интернете — не реагировать на сообщения и письма, которые предлагают вам скачать какие-то обновления или говорят вам, что ваш аккаунт был взломан. Для начала нужно убедиться, что у вас действительно есть аккаунт на указанном или программа, которая требует «обновления». Затем самостоятельно найдите службу поддержки и свяжитесь с ней для выяснения обстоятельств и действительно ли ваш аккаунт кто-то взломал, а программа устарела.
Если вы получили электронное письмо о том, что ваша учетная запись была взломана или ваш пакет не был доставлен, не открывайте никаких ссылок или вложений. Во-первых, убедитесь, что у вас действительно есть учетная запись в этой компании или вы ожидаете почту от этого перевозчика. Затем найдите в сети реальный номер или адрес службы поддержки клиентов и свяжитесь с ними.
Уильям Малик, вице-президент компании по кибербезопасности Trend Micro, подсказывает, что пользователи не должны пытаться как-то повлиять на ситуацию и лучшее, что они могут сделать — это убедиться, что их приложения обновлены до последних версий и просто ждать, пока инженеры сделают свою работу.