Eine letztes Jahr in einer allgegenwärtigen Software entdeckte Computerschwachstelle ist ein „endemisch“ Problem, das möglicherweise ein Jahrzehnt oder länger Sicherheitsrisiken birgt, so ein neues von Präsident Joe Biden eingerichtetes Cybersicherheitsgremium.
Das Prüfungsausschuss für Cybersicherheit sagte in einem Bericht am Donnerstag, dass es zwar keine Anzeichen für eine größere Erkrankung gegeben habe Cyberangriff Aufgrund des Log4j-Fehlers werde es „noch jahrelang ausgenutzt“ werden.
"log4j ist eine der schwerwiegendsten Software-Schwachstellen in der Geschichte“, sagte der Vorsitzende des Ausschusses, Unterstaatssekretär des Heimatschutzministeriums, Rob Silvers, am Mittwoch gegenüber Reportern.
Der Ende letzten Jahres öffentlich gemachte Log4j-Fehler ermöglicht es internetbasierten Angreifern, leicht die Kontrolle über alles zu erlangen, von industriellen Steuerungssystemen bis hin zu Webservern und Unterhaltungselektronik. Die ersten offensichtlichen Anzeichen für die Ausnutzung des Fehlers traten auf Minecraft, ein äußerst beliebtes Online-Spiel von Microsoft.
Die Entdeckung des Fehlers löste dringende Warnungen von Regierungsbeamten und massive Anstrengungen von Cybersicherheitsexperten aus, anfällige Systeme zu patchen.
Der Vorstand sagte am Donnerstag, dass die Ausnutzung des Log4j-Fehlers „etwas überraschend“ in einem geringeren Ausmaß stattgefunden habe als von Experten vorhergesagt. Der Vorstand sagte auch, dass ihm keine „erheblichen“ Log4j-Angriffe auf kritische Infrastruktursysteme bekannt seien, stellte jedoch fest, dass es einige gab Cyber-Angriffe ungemeldet bleiben.
Der Vorstand sagte, dass zukünftige Angriffe zum großen Teil wahrscheinlich sind, weil Log4j routinemäßig in andere Software eingebettet ist und es für Unternehmen schwierig sein kann, es in ihren Systemen zum Laufen zu bringen.
„Diese Veranstaltung ist noch nicht vorbei“, sagte Silvers.
Log4j ist in der Programmiersprache Java geschrieben und protokolliert Benutzeraktivitäten auf Computern. Es wurde von einer Handvoll Freiwilliger unter der Schirmherrschaft der Open-Source-Apache Software Foundation entwickelt und gepflegt und erfreut sich bei kommerziellen Softwareentwicklern großer Beliebtheit.
Ein Sicherheitsforscher beim chinesischen Technologieriesen Alibaba benachrichtigte die Stiftung am 24. November. Die Entwicklung und Veröffentlichung eines Fixes dauerte zwei Wochen. Chinesische Medien berichteten, die Regierung habe bestraft Alibaba dafür, dass er den Fehler nicht früher den Staatsbeamten gemeldet hat.
Das Gremium sagte am Donnerstag, es habe „beunruhigende Elemente“ in der Politik der chinesischen Regierung in Bezug auf die Offenlegung von Sicherheitslücken gefunden und sagte, es könne chinesischen Staatshackern einen frühen Einblick in Computerfehler geben, die sie für schändliche Zwecke wie den Diebstahl von Geschäftsgeheimnissen oder das Ausspionieren von Dissidenten nutzen könnten. Die chinesische Regierung bestreitet seit langem Fehlverhalten im Cyberspace und teilte dem Gremium mit, dass sie einen verbesserten Informationsaustausch über Software-Schwachstellen fördert.
Der Vorstand gab eine Reihe von Empfehlungen zur Eindämmung der Folgen des Log4j-Fehlers sowie zur Verbesserung der Cybersicherheit im Allgemeinen ab. Dazu gehört auch der Vorschlag, dass Universitäten und Community Colleges Cybersicherheitsschulungen zu einem obligatorischen Bestandteil von Informatikstudiengängen und Zertifizierungsprogrammen machen sollten.
Das Cyber Safety Review Board ist dem National Transportation Safety Board nachempfunden, das Flugzeugabstürze und andere schwere Unfälle prüft, und wurde durch eine von Biden im vergangenen Mai unterzeichnete Durchführungsverordnung beauftragt. Der 15-köpfige Vorstand besteht aus FBI, der National Security Agency und anderen Regierungsbeamten sowie Personen aus dem Privatsektor. Einige Befürworter des neuen Vorstands kritisierten, dass das DHS so lange brauchte, um es zum Laufen zu bringen.
Bidens Durchführungsverordnung wies den Vorstand an, seine erste Überprüfung der massiven russischen Cyberspionagekampagne namens durchzuführen SolarWinds. Russischen Hackern gelang es, in mehrere Bundesbehörden einzudringen, darunter auch in Konten hochrangiger Cybersicherheitsbeamter des DHS. Die vollständigen Folgen dieser Kampagne sind jedoch noch unklar.
Silvers sagte, das DHS und das Weiße Haus seien sich einig, dass die Überprüfung des Log4j-Fehlers eine bessere Nutzung des Fachwissens und der Zeit des neuen Gremiums sei.
