IT-індустрія

25 грудня 2021, 07:03

НВ Преміум

Експерти знайшли найсерйознішу вразливість в історії інтернету. Ми у небезпеці? Що робити? Пояснюємо простою мовою

Десь місяць тому фахівці з кібербезпеки вперше дізналися про критичну вразливість, яка може вплинути на мільйони користувачів в усьому світі. Відтоді ситуація не надто поліпшилася. Розповідаємо все, що вам потрібно знати про вразливість у бібліотеці log4j.

24 листопада о 14:51 учасники проекту з розробки програмного забезпечення з відкритим вихідним кодом отримали тривожний електронний лист. Вміст листа погрожував спровокувати масові кібератаки по всьому світу.

«Я хочу повідомити про помилку безпеки», — написав Чен Чжаоцзюнь, співробітник групи хмарної безпеки Alibaba Group Holding Ltd. Він пояснив, що за допомогою поширеного програмного інструменту Log4j хакер може досягти віддаленого керування комп’ютером жертви.

Передплатіть, щоб прочитати повністю

Нам необхідна ваша підтримка, щоб займатися якісною журналістикою

Передплатити
Перший місяць 1 ₴. Відмовитися від передплати можна у будь-який момент

«Вразливість log4j — найсерйозніша вразливість, яку я бачив за свою багаторічну кар'єру», — каже Джен Істерлі, директор Агентства з кібербезпеки та безпеки інфраструктури США в інтерв'ю CNBC.

Що таке log4j? Як уразливістю можуть скористатися хакери? Чому представники IT-індустрії так панікують і чи варто через вразливість перейматися пересічним користувачам?

Що таке Log4j?

Log4j — дуже старий, простий у використанні інструмент для ведення журналу мови програмування Java ( Log4j = Log for Java = журнал для Java). Це фрагмент коду, який дозволяє програмам відстежувати дії користувачів. Він досить популярний, оскільки давно відомий та легкий у використанні. Тому багато інженерів при розробці нової програми використовують log4j замість того, щоб вигадувати свій код для ведення журналу.

Чому вразливість вважається критичною?

Вся річ у масштабах. Уявіть, що всі неелектронні замки раптом перестали бути ефективними та відкриваються без ключа. Пройтися мільйонами будівель, щоб замінити замки електронними — не найлегше завдання, на яке витратиться багато сил і ресурсів.

Мова програмування Java є одним із найпоширеніших способів написання програмного забезпечення — особливо якщо йдеться про відносно старі програми, пояснює WSJ. Величезна частина комп’ютерного коду, що підтримує життя сучасного інтернету, написаний на Java і містить log4j.

Хакери раптово отримали можливість проникнути практично куди завгодно — під загрозою перебувають не тільки Google, Twitter, Microsoft, IBM, Amazon та багато інших компаній, але й пристрої пересічних користувачів, підключених до інтернету. Вразливість, що отримала назву Log4Shell, дає хакерам доступ до будь-якої системи, яким не доведеться оминати всі засоби захисту.

Це не означає, що зловмисники вже завтра зламають увесь світ. Однак у них з’явилася нова можливість зробити це — і це проблема.

Як працює вразливість?

Зазвичай ніякі звичайні дії користувачів на кшталт коментування, перегляду відео або перевірки вхідних повідомлень на сайті не можуть вплинути на роботу системи. Якщо ви напишете в коментарях Видалити все, система, що обробляє текст вашого коментаря, не сприйматиме його як справжню команду до видалення вмісту всього сайту.

Однак log4j може розцінити деякі повідомлення як команду та надати зловмисникам доступ до серця програми та використовувати вразливість віддаленого виконання коду на серверах, які використовують log4j. Це означає, що хакер буквально може наказати зараженому комп’ютеру завантажити зловмисне програмне забезпечення — і він це зробить без будь-якої можливості користувача вплинути на це.

Журнали вважалися досить безпечною та простою активністю, яка не мала призвести до такої проблеми. Справа ще й у тому, що насправді ми й уявити не можемо, скільки людей могли знати про вразливість log4j і як довго це тривало до того, як проблема викрилася, і компанії почали випускати оновлення, щоб залатати дірку.

Що роблять компанії для усунення вразливості?

Дотепер незрозуміло, наскільки вразливість вплинула на роботу додатків, оскільки log4j — дуже поширений інструмент. Тому багато експертів із кібербезпеки замість різдвяних канікул кинулися виправляти вразливість. За словами одного зі співробітників Google, 500 інженерів компанії переглядали безліч кодів, щоб перевірити їх. Напружена робота спровокувала чимало мемів від програмістів, що нарікають на пекельні дні на роботі.

Оновлювати log4j тричі взагалі ненапружно. Дейв, 28 років.

Apache — найбільший веб-сервер Java — випустив відразу кілька оновлень, покликаних прикрити пролом Log4Shell. Проте через терміновість ці рішення були неідеальними — закриваючи основну вразливість, вони призводили до нових проблем. Однак з головною проблемою програмісти впоралися — вихідна вразливість виправляється оновленнями, і тепер справа за інженерами компаній, які використовують потенційно небезпечне програмне забезпечення.

Тим не менш, багатьом компаніям доведеться боротися з проблемою самотужки, оскільки вони використовують старіші версії Java. Крім того, компаніям важливо зберегти доступ до журналу, щоб відстежувати роботу своїх програм.

Проблема виникає для великих компаній, в основі яких лежать величезні коди, наголошує Google. Інженерам доводиться проходити крізь кілька рівнів, виправляючи кожен із них, щоб виправлення вразливості не зламало роботу основного ПЗ. Це дуже важкий і тривалий процес.

«Розвинені в галузі безпеки організації почнуть намагатися оцінити свою вразливість протягом кількох годин після подібного експлойту, але деяким організаціям знадобиться кілька тижнів, а деякі ніколи не дістануться до нього. Інтернет палає, це лайно скрізь. І я маю на увазі буквально — скрізь», — стверджує в інтерв'ю Wired на умовах анонімності інженер з безпеки великої компанії-розробника програмного забезпечення.

Наскільки активно вразливістю користуються хакери?

Звісно ж, зловмисники розпочали вивчення Log4Shell так само активно, як і експерти з кібербезпеки. Компанія Check Point, що виробляє програмне забезпечення для кібербезпеки, зазначає у своєму блозі, що хакери намагалися використовувати вразливість, аби взяти під контроль майже половину всіх корпоративних мереж по всьому світу.

Віце-президент компанії з кібербезпеки Trend Micro Вільям Малік каже, що хакери навряд чи знали про вразливість, оскільки експерти з безпеки помітили її використання раніше. Однак це не означає, що досвідчені зловмисники, які працюють на уряд США, Росії, Китаю чи Ізраїлю, не намагалися скористатися нею раніше.

Багато хакерів не користуються вразливістю відразу ж — вони залишають бекдори, які дозволяють отримати доступ до зламаної системи навіть після усунення початкової проблеми з log4j. Це буде окреме завдання для експертів з кібербезпеки, адже фактично це пртихована глибоко всередині коду бомба, яка може рвонути, коли про проблему всі давно забудуть. Log4j може стати проблемою довгостроковою.

Більшість хакерських атак планувала захоплення комп’ютерів для майнінгу криптовалют. Проте 15 грудня було зафіксовано першу політичну атаку — іранські хакери з угруповання Charming Kitten намагалися отримати доступ до критичної інфраструктури Ізраїлю.

У понеділок уряд Бельгії відключив частину своїх мереж через те, що хакери спробували використати log4j і зламати урядові системи.

Також серед експертів з кібербезпеки активно обговорюється потенційне створення хробака, який самостійно використав уразливість Log4Shell. Грубо кажучи, це програма, яка розповсюджується самотужки, завантажуючи в систему нові версії себе, стаючи безсмертню і поступово захоплюючи інші комп’ютери та сервери.

Наразі єдиної думки немає — поки хтось малює апокаліптичні картини обвалення інтернету, дехто запевняює, що створення хробака триватиме забагато часу, який хакери зараз не можуть собі дозволити через активну роботу з усунення вразливості. Крім того, створення такої програми — технічно складне завдання, яке не під силу багатьом зловмисникам.

Технічний директор служби комп’ютерної безпеки BreachQuest Джейк Вільямс пояснює, що причин для паніки немає — більшість серверів, вразливих для Log4Shell, запускатимуть вразливий процес з обмеженими дозволами. Через це потенційний хробак не може забезпечити сталість під час перезапуску процесу.

Що робити пересічним користувачам?

Фактично ні на що вплинути ми не маємо змоги. Компанії зацікавлені у виправленні вразливості якнайшвидше, а тому користувачам залишається лише стежити за оновленнями та встановлювати їх у міру доступності.

Наша справа проста і обмежується базовими правилами безпеки в інтернеті — не реагувати на повідомлення та листи, які пропонують вам завантажити якісь оновлення або повідомляють вас, що ваш обліковий запис був зламаний. Для початку потрібно переконатися, що у вас дійсно є обліковий запис на вказаному сайті або програма, яка вимагає оновлення. Потім самостійно знайдіть службу підтримки та зв’яжіться з нею для з’ясування обставин, чи справді ваш обліковий запис хтось зламав, а може, програма застаріла.

Якщо ви отримали електронного листа про те, що ваш обліковий запис був зламаний або ваш пакет не був доставлений, не відкривайте жодних посилань або вкладень. По-перше, переконайтеся, що у вас дійсно є обліковий запис у цій компанії, або ви очікуєте пошту від цього перевізника. Потім знайдіть у мережі реальний номер або адресу служби підтримки клієнтів та зв’яжіться з ними.

Вільям Малік, віце-президент компанії з кібербезпеки Trend Micro, підказує, що користувачі не повинні намагатися якось вплинути на ситуацію, і найліпше, що вони можуть зробити, — це переконатися, що їхні програми оновлені до останніх версій і просто чекати, поки інженери виконають свою роботу.

Другие новости

Всі новини