Başkan Joe Biden tarafından oluşturulan yeni bir siber güvenlik paneline göre, geçen yıl her yerde bulunan bir yazılımda keşfedilen bir bilgisayar güvenlik açığı, potansiyel olarak on yıl veya daha uzun bir süre boyunca güvenlik riskleri oluşturacak "endemik" bir sorundur.
The Siber Güvenlik İnceleme Kurulu Perşembe günü yayınlanan bir raporda, herhangi bir önemli belirti olmamasına rağmen cyberattack Log4j kusuru nedeniyle "gelecek yıllarda da sömürülmeye devam edecek."
"log4j kurulun başkanı İç Güvenlik Bakanlığı Müsteşarı Rob Silvers Çarşamba günü gazetecilere verdiği demeçte, "tarihin en ciddi yazılım açıklarından biridir" dedi.
Geçen yılın sonlarında kamuoyuna açıklanan Log4j kusuru, internet tabanlı saldırganların endüstriyel kontrol sistemlerinden web sunucularına ve tüketici elektroniğine kadar her şeyin kontrolünü kolayca ele geçirmesine olanak tanıyor. Kusurun kötüye kullanıldığına dair ilk bariz işaretler şu şekilde ortaya çıktı: MinecraftMicrosoft'un sahip olduğu oldukça popüler bir çevrimiçi oyun.
Kusurun keşfi, hükümet yetkililerinin acil uyarılarına ve siber güvenlik uzmanlarının savunmasız sistemleri yamamak için yoğun çaba göstermesine yol açtı.
Kurul perşembe günü yaptığı açıklamada, Log4j hatasından yararlanmanın "biraz şaşırtıcı bir şekilde" uzmanların öngördüğünden daha düşük seviyelerde gerçekleştiğini söyledi. Kurul ayrıca kritik altyapı sistemlerine yönelik herhangi bir "önemli" Log4j saldırısından habersiz olduğunu ancak bazılarının cyberattacks rapor edilmeden gitmek.
Kurul, gelecekteki saldırıların büyük olasılıkla Log4j'nin rutin olarak diğer yazılımlara gömülü olması ve kuruluşların sistemlerinde çalışmasını bulmasının zor olabilmesi nedeniyle muhtemel olduğunu söyledi.
Silvers, "Bu etkinlik henüz bitmedi" dedi.
Java programlama dilinde yazılan Log4j, bilgisayarlardaki kullanıcı aktivitelerini günlüğe kaydeder. Açık kaynaklı Apache Yazılım Vakfı'nın himayesi altında bir avuç gönüllü tarafından geliştirilen ve bakımı yapılan bu yazılım, ticari yazılım geliştiricileri arasında son derece popülerdir.
Çin teknoloji devinde güvenlik araştırmacısı Alibaba 24 Kasım'da vakfa bildirimde bulundu. Bir düzeltmenin geliştirilip yayınlanması iki hafta sürdü. Çin medyası hükümetin cezalandırdığını bildirdi Alibaba kusuru devlet yetkililerine daha önce bildirmediğiniz için.
Kurul perşembe günü yaptığı açıklamada, Çin hükümetinin güvenlik açığının ifşa edilmesine yönelik politikasında "sorunlu unsurlar" bulduğunu ve bunun Çinli devlet korsanlarına ticari sırları çalmak veya muhalifleri gözetlemek gibi hain amaçlar için kullanabilecekleri bilgisayar kusurlarına erken bir bakış sağlayabileceğini söyledi. Çin hükümeti uzun süredir siber uzayda yanlış bir şey yapıldığını inkar etti ve yönetim kuruluna, yazılımdaki güvenlik açıkları konusunda gelişmiş bilgi paylaşımını teşvik ettiğini söyledi.
Kurul, Log4j kusurunun etkilerini hafifletmenin yanı sıra genel olarak siber güvenliği iyileştirmeye yönelik bir dizi öneri sundu. Bu, üniversitelerin ve yüksekokulların siber güvenlik eğitimini bilgisayar bilimleri diploma ve sertifika programlarının zorunlu bir parçası haline getirmesi önerisini de içeriyor.
Siber Güvenlik İnceleme Kurulu, uçak kazalarını ve diğer büyük kazaları inceleyen Ulusal Ulaşım Güvenliği Kurulu örnek alınarak oluşturuldu ve Biden'ın geçen Mayıs ayında imzaladığı bir idari emirle görevlendirildi. 15 üyeli kurulda FBI, Ulusal Güvenlik Teşkilatı ve diğer hükümet yetkililerinin yanı sıra özel sektörden kişiler de yer alıyor. Yeni yönetim kurulunun bazı destekçileri, DHS'yi çalışır duruma getirmenin bu kadar uzun sürmesi nedeniyle eleştirdi.
Biden'ın idari emri, yönetim kuruluna, Rusya'nın devasa siber casusluk kampanyasına ilişkin ilk incelemeyi yapması talimatını verdi. SolarWinds. Rus bilgisayar korsanları, DHS'deki üst düzey siber güvenlik yetkililerine ait hesaplar da dahil olmak üzere birçok federal kuruma sızmayı başardı, ancak bu kampanyanın tam sonuçları hala belirsiz.
Silvers, DHS ve Beyaz Saray'ın Log4j kusurunun incelenmesinin yeni kurulun uzmanlığının ve zamanının daha iyi kullanılması konusunda anlaştığını söyledi.
