राष्ट्रपति जो बिडेन द्वारा बनाए गए एक नए साइबर सुरक्षा पैनल के अनुसार, पिछले साल सॉफ्टवेयर के एक सर्वव्यापी टुकड़े में खोजी गई एक कंप्यूटर भेद्यता एक "स्थानिक" समस्या है जो संभावित रूप से एक दशक या उससे अधिक के लिए सुरक्षा जोखिम पैदा करेगी।
RSI साइबर सुरक्षा समीक्षा बोर्ड गुरुवार को एक रिपोर्ट में कहा गया है कि हालांकि किसी बड़ी घटना के संकेत नहीं मिले हैं साइबर हमले का Log4j दोष के कारण, इसका अभी भी "आने वाले वर्षों तक शोषण किया जाएगा।"
"लॉग4जे इतिहास में सबसे गंभीर सॉफ्टवेयर कमजोरियों में से एक है, "बोर्ड के अध्यक्ष, होमलैंड सिक्योरिटी विभाग के अवर सचिव रॉब सिल्वर ने बुधवार को संवाददाताओं से कहा।
Log4j दोष, जिसे पिछले साल के अंत में सार्वजनिक किया गया था, इंटरनेट-आधारित हमलावरों को औद्योगिक नियंत्रण प्रणाली से लेकर वेब सर्वर और उपभोक्ता इलेक्ट्रॉनिक्स तक सब कुछ आसानी से नियंत्रित करने देता है। दोष के शोषण के पहले स्पष्ट लक्षण दिखाई दिए Minecraft, माइक्रोसॉफ्ट के स्वामित्व वाला एक बेहद लोकप्रिय ऑनलाइन गेम।
दोष की खोज ने सरकारी अधिकारियों द्वारा तत्काल चेतावनी और साइबर सुरक्षा पेशेवरों द्वारा कमजोर प्रणालियों को पैच करने के लिए बड़े पैमाने पर प्रयासों को प्रेरित किया।
बोर्ड ने गुरुवार को कहा कि विशेषज्ञों की भविष्यवाणी की तुलना में "कुछ आश्चर्यजनक रूप से" Log4j बग का शोषण निचले स्तर पर हुआ था। बोर्ड ने यह भी कहा कि वह महत्वपूर्ण अवसंरचना प्रणालियों पर किसी भी "महत्वपूर्ण" Log4j हमलों से अनजान था, लेकिन ध्यान दिया कि कुछ साइबर हमले असूचित जाओ।
बोर्ड ने कहा कि भविष्य में बड़े पैमाने पर हमले होने की संभावना है क्योंकि Log4j नियमित रूप से अन्य सॉफ्टवेयर के साथ एम्बेडेड है और संगठनों के लिए अपने सिस्टम में चलाना मुश्किल हो सकता है।
"यह घटना खत्म नहीं हुई है," सिल्वर ने कहा।
Log4j, जावा प्रोग्रामिंग भाषा में लिखा गया है, कंप्यूटर पर उपयोगकर्ता गतिविधि को लॉग करता है। ओपन-सोर्स अपाचे सॉफ्टवेयर फाउंडेशन के तत्वावधान में मुट्ठी भर स्वयंसेवकों द्वारा विकसित और अनुरक्षित, यह वाणिज्यिक सॉफ्टवेयर डेवलपर्स के साथ बेहद लोकप्रिय है।
चीनी टेक दिग्गज में एक सुरक्षा शोधकर्ता अलीबाबा 24 नवंबर को नींव को अधिसूचित किया। इसे विकसित करने और एक फिक्स जारी करने में दो सप्ताह लग गए। चीनी मीडिया ने बताया कि सरकार ने दंडित किया अलीबाबा राज्य के अधिकारियों को पहले दोष की सूचना नहीं देने के लिए।
बोर्ड ने गुरुवार को कहा कि उसने चीनी सरकार की भेद्यता प्रकटीकरण की नीति के साथ "परेशान करने वाले तत्व" पाए, यह कहते हुए कि यह चीनी राज्य हैकर्स को कंप्यूटर की खामियों पर एक प्रारंभिक नज़र दे सकता है जो वे व्यापार रहस्य चोरी करने या असंतुष्टों की जासूसी करने जैसे नापाक साधनों के लिए उपयोग कर सकते हैं। चीनी सरकार ने लंबे समय से साइबर स्पेस में गलत काम करने से इनकार किया है और बोर्ड से कहा है कि वह सॉफ्टवेयर कमजोरियों पर बेहतर जानकारी साझा करने को प्रोत्साहित करती है।
बोर्ड ने Log4j दोष के नतीजों को कम करने के साथ-साथ साइबर सुरक्षा में सुधार के लिए कई सिफारिशें कीं। इसमें यह सुझाव शामिल है कि विश्वविद्यालय और सामुदायिक कॉलेज साइबर सुरक्षा प्रशिक्षण को कंप्यूटर विज्ञान की डिग्री और प्रमाणन कार्यक्रमों का एक आवश्यक हिस्सा बनाते हैं।
साइबर सेफ्टी रिव्यू बोर्ड को नेशनल ट्रांसपोर्टेशन सेफ्टी बोर्ड के बाद तैयार किया गया है, जो विमान दुर्घटनाओं और अन्य बड़ी दुर्घटनाओं की समीक्षा करता है, और पिछले मई में हस्ताक्षरित एक कार्यकारी आदेश बिडेन द्वारा अनिवार्य किया गया था। 15 सदस्यीय बोर्ड एफबीआई, राष्ट्रीय सुरक्षा एजेंसी और अन्य सरकारी अधिकारियों के साथ-साथ निजी क्षेत्र के लोगों से बना है। नए बोर्ड के कुछ समर्थकों ने डीएचएस की आलोचना की कि इसे उठने और चलाने में इतना समय लगा।
बिडेन के कार्यकारी आदेश ने बोर्ड को बड़े पैमाने पर रूसी साइबर जासूसी अभियान पर अपनी पहली समीक्षा करने का निर्देश दिया, जिसे . के रूप में जाना जाता है ओरियन. रूसी हैकर्स कई संघीय एजेंसियों को भंग करने में सक्षम थे, जिनमें डीएचएस में शीर्ष साइबर सुरक्षा अधिकारियों के खाते शामिल थे, हालांकि उस अभियान से पूर्ण नतीजा अभी भी स्पष्ट नहीं है।
सिल्वर ने कहा कि डीएचएस और व्हाइट हाउस सहमत हैं कि लॉग4जे दोष की समीक्षा करना नए बोर्ड की विशेषज्ञता और समय का बेहतर उपयोग था।
