Kerentanan komputer yang ditemukan tahun lalu di perangkat lunak yang ada di mana-mana adalah masalah "endemik" yang akan menimbulkan risiko keamanan selama satu dekade atau lebih, menurut panel keamanan siber baru yang dibuat oleh Presiden Joe Biden.
Grafik Dewan Peninjau Keamanan Cyber mengatakan dalam sebuah laporan Kamis bahwa sementara belum ada tanda-tanda jurusan apa pun cyberattack karena cacat Log4j, itu masih akan "dieksploitasi selama bertahun-tahun yang akan datang."
"log4j adalah salah satu kerentanan perangkat lunak paling serius dalam sejarah,” kata ketua dewan, Wakil Sekretaris Departemen Keamanan Dalam Negeri Rob Silvers, kepada wartawan Rabu.
Cacat Log4j, dipublikasikan akhir tahun lalu, memungkinkan penyerang berbasis internet dengan mudah menguasai segalanya mulai dari sistem kontrol industri hingga server web dan elektronik konsumen. Tanda-tanda jelas pertama dari eksploitasi cacat muncul di Minecraft, game online yang sangat populer milik Microsoft.
Penemuan cacat tersebut mendorong peringatan mendesak oleh pejabat pemerintah dan upaya besar-besaran oleh para profesional keamanan siber untuk menambal sistem yang rentan.
Dewan mengatakan pada hari Kamis bahwa "agak mengejutkan" eksploitasi bug Log4j telah terjadi pada tingkat yang lebih rendah dari yang diperkirakan para ahli. Dewan juga mengatakan bahwa mereka tidak mengetahui adanya serangan Log4j “signifikan” pada sistem infrastruktur penting tetapi mencatat bahwa beberapa cyberattacks pergi tidak dilaporkan.
Dewan mengatakan serangan di masa depan kemungkinan besar sebagian besar karena Log4j secara rutin disematkan dengan perangkat lunak lain dan mungkin sulit bagi organisasi untuk menemukan berjalan di sistem mereka.
"Acara ini belum berakhir," kata Silvers.
Log4j, ditulis dalam bahasa pemrograman Java, mencatat aktivitas pengguna di komputer. Dikembangkan dan dikelola oleh segelintir sukarelawan di bawah naungan Open-source Apache Software Foundation, ini sangat populer di kalangan pengembang perangkat lunak komersial.
Seorang peneliti keamanan di raksasa teknologi China Alibaba memberi tahu yayasan pada 24 November. Butuh dua minggu untuk mengembangkan dan merilis perbaikan. Media China melaporkan bahwa pemerintah menghukum Alibaba karena tidak melaporkan kesalahan sebelumnya kepada pejabat negara.
Dewan mengatakan pada hari Kamis bahwa mereka menemukan "elemen yang mengganggu" dengan kebijakan pemerintah China terhadap pengungkapan kerentanan, dengan mengatakan itu dapat memberi peretas negara bagian China pandangan awal tentang kelemahan komputer yang dapat mereka gunakan untuk cara jahat seperti mencuri rahasia dagang atau memata-matai para pembangkang. Pemerintah China telah lama membantah melakukan kesalahan di dunia maya dan mengatakan kepada dewan bahwa itu mendorong peningkatan berbagi informasi tentang kerentanan perangkat lunak.
Dewan menawarkan sejumlah rekomendasi untuk mengurangi dampak dari kelemahan Log4j serta meningkatkan keamanan siber secara umum. Itu termasuk saran agar universitas dan community college menjadikan pelatihan keamanan siber sebagai bagian wajib dari program gelar dan sertifikasi ilmu komputer.
Dewan Peninjau Keamanan Cyber dimodelkan setelah Dewan Keselamatan Transportasi Nasional, yang meninjau kecelakaan pesawat dan kecelakaan besar lainnya, dan dimandatkan oleh perintah eksekutif yang ditandatangani Biden Mei lalu. Dewan beranggotakan 15 orang terdiri dari FBI, Badan Keamanan Nasional dan pejabat pemerintah lainnya serta orang-orang dari sektor swasta. Beberapa pendukung dewan baru mengkritik DHS karena membutuhkan waktu lama untuk menjalankannya.
Perintah eksekutif Biden mengarahkan dewan untuk melakukan tinjauan pertamanya pada kampanye spionase siber Rusia besar-besaran yang dikenal sebagai SuryaAngin. Peretas Rusia mampu membobol beberapa agen federal, termasuk akun milik pejabat keamanan dunia maya di DHS, meskipun dampak penuh dari kampanye itu masih belum jelas.
Silvers mengatakan DHS dan Gedung Putih sepakat bahwa meninjau kelemahan Log4j adalah penggunaan yang lebih baik dari keahlian dan waktu dewan baru.
