Μια ευπάθεια υπολογιστή που ανακαλύφθηκε πέρυσι σε ένα πανταχού παρόν λογισμικό είναι ένα «ενδημικό» πρόβλημα που θα εγκυμονεί κινδύνους για την ασφάλεια δυνητικά για μια δεκαετία ή περισσότερο, σύμφωνα με μια νέα ομάδα κυβερνοασφάλειας που δημιούργησε ο πρόεδρος Τζο Μπάιντεν.
Η Επιτροπή Αναθεώρησης Κυβερνοασφάλειας είπε σε έκθεσή του την Πέμπτη ότι ενώ δεν έχει υπάρξει σημάδι για κάποιο σημαντικό ηλεκτρονική επίθεση Λόγω του ελαττώματος Log4j, θα εξακολουθήσει να "αξιοποιείται για τα επόμενα χρόνια".
"log4j είναι ένα από τα πιο σοβαρά τρωτά σημεία λογισμικού στην ιστορία», δήλωσε στους δημοσιογράφους την Τετάρτη ο πρόεδρος του διοικητικού συμβουλίου, ο υφυπουργός Εσωτερικής Ασφάλειας Ρομπ Σίλβερς.
Το ελάττωμα Log4j, που δημοσιοποιήθηκε στα τέλη του περασμένου έτους, επιτρέπει στους επιτιθέμενους που βασίζονται στο Διαδίκτυο να πάρουν εύκολα τον έλεγχο των πάντων, από συστήματα βιομηχανικού ελέγχου έως διακομιστές ιστού και ηλεκτρονικά είδη ευρείας κατανάλωσης. Τα πρώτα εμφανή σημάδια της εκμετάλλευσης του ελαττώματος εμφανίστηκαν στο Minecraft, ένα εξαιρετικά δημοφιλές διαδικτυακό παιχνίδι που ανήκει στη Microsoft.
Η ανακάλυψη του ελαττώματος προκάλεσε επείγουσες προειδοποιήσεις από κυβερνητικούς αξιωματούχους και τεράστιες προσπάθειες από επαγγελματίες της κυβερνοασφάλειας για την επιδιόρθωση ευάλωτων συστημάτων.
Το διοικητικό συμβούλιο δήλωσε την Πέμπτη ότι «κάπως εκπληκτικά» η εκμετάλλευση του σφάλματος Log4j είχε συμβεί σε χαμηλότερα επίπεδα από ό,τι είχαν προβλέψει οι ειδικοί. Το συμβούλιο είπε επίσης ότι δεν γνώριζε καμία «σημαντική» επίθεση Log4j σε συστήματα υποδομής ζωτικής σημασίας, αλλά σημείωσε ότι ορισμένες cyberattacks να μην αναφέρονται.
Το συμβούλιο είπε ότι οι μελλοντικές επιθέσεις είναι πιθανές σε μεγάλο βαθμό επειδή το Log4j ενσωματώνεται συνήθως με άλλο λογισμικό και μπορεί να είναι δύσκολο για τους οργανισμούς να βρουν να εκτελούνται στα συστήματά τους.
«Αυτή η εκδήλωση δεν έχει τελειώσει», είπε ο Σίλβερς.
Το Log4j, γραμμένο στη γλώσσα προγραμματισμού Java, καταγράφει τη δραστηριότητα των χρηστών σε υπολογιστές. Αναπτύχθηκε και συντηρείται από λίγους εθελοντές υπό την αιγίδα του ανοιχτού κώδικα Apache Software Foundation, είναι εξαιρετικά δημοφιλές στους προγραμματιστές εμπορικού λογισμικού.
Ερευνητής ασφάλειας στον κινεζικό τεχνολογικό γίγαντα Alibaba ειδοποίησε το ίδρυμα στις 24 Νοεμβρίου. Χρειάστηκαν δύο εβδομάδες για να αναπτυχθεί και να κυκλοφορήσει μια επιδιόρθωση. Τα κινεζικά μέσα ενημέρωσης ανέφεραν ότι η κυβέρνηση τιμώρησε Alibaba επειδή δεν αναφέρθηκε νωρίτερα το ελάττωμα σε κρατικούς αξιωματούχους.
Το συμβούλιο δήλωσε την Πέμπτη ότι εντόπισε «ανησυχητικά στοιχεία» στην πολιτική της κινεζικής κυβέρνησης για αποκαλύψεις ευπάθειας, λέγοντας ότι θα μπορούσε να δώσει στους κινεζικούς κρατικούς χάκερ μια πρώιμη ματιά σε ελαττώματα υπολογιστή που θα μπορούσαν να χρησιμοποιήσουν για κακόβουλα μέσα, όπως η κλοπή εμπορικών μυστικών ή η κατασκοπεία αντιφρονούντων. Η κινεζική κυβέρνηση έχει αρνηθεί εδώ και καιρό τις αδικίες στον κυβερνοχώρο και είπε στο διοικητικό συμβούλιο ότι ενθαρρύνει τη βελτιωμένη ανταλλαγή πληροφοριών σχετικά με τα τρωτά σημεία του λογισμικού.
Το συμβούλιο πρόσφερε μια σειρά από συστάσεις για τον μετριασμό των επιπτώσεων του ελαττώματος Log4j καθώς και για τη βελτίωση της ασφάλειας στον κυβερνοχώρο γενικά. Αυτό περιλαμβάνει την πρόταση ότι τα πανεπιστήμια και τα κοινοτικά κολέγια κάνουν την εκπαίδευση στον κυβερνοχώρο απαραίτητο μέρος των προγραμμάτων σπουδών και πιστοποίησης της επιστήμης των υπολογιστών.
Το Συμβούλιο Αναθεώρησης Ασφάλειας στον Κυβερνοχώρο έχει διαμορφωθεί σύμφωνα με το Εθνικό Συμβούλιο Ασφάλειας Μεταφορών, το οποίο εξετάζει αεροπορικά δυστυχήματα και άλλα μεγάλα ατυχήματα και έλαβε εντολή από εκτελεστικό διάταγμα που υπέγραψε ο Μπάιντεν τον περασμένο Μάιο. Το 15μελές συμβούλιο αποτελείται από το FBI, την Εθνική Υπηρεσία Ασφαλείας και άλλους κυβερνητικούς αξιωματούχους καθώς και άτομα από τον ιδιωτικό τομέα. Ορισμένοι υποστηρικτές του νέου διοικητικού συμβουλίου επέκριναν το DHS που άργησε τόσο πολύ να το θέσει σε λειτουργία.
Το εκτελεστικό διάταγμα του Μπάιντεν έδωσε εντολή στο διοικητικό συμβούλιο να πραγματοποιήσει την πρώτη του αναθεώρηση σχετικά με τη μαζική ρωσική εκστρατεία κυβερνοκατασκοπείας, γνωστή ως SolarWinds. Ρώσοι χάκερ μπόρεσαν να παραβιάσουν αρκετές ομοσπονδιακές υπηρεσίες, συμπεριλαμβανομένων λογαριασμών που ανήκουν σε κορυφαίους αξιωματούχους κυβερνοασφάλειας στο DHS, αν και το πλήρες αποτέλεσμα αυτής της εκστρατείας είναι ακόμα ασαφές.
Ο Silvers είπε ότι το DHS και ο Λευκός Οίκος συμφώνησαν ότι η επανεξέταση του ελαττώματος του Log4j ήταν καλύτερη χρήση της τεχνογνωσίας και του χρόνου του νέου διοικητικού συμβουλίου.
