Kanskje tidenes største avdekkede svakhet på internett har fått for lite oppmerksomhet utenfor tech-miljøet. Log4j er et verktøy brukt av blant annet programvareutviklere, og sikkerhetssvikten i det kan gi direkte, uhindret innpass til databaser, datamaskiner, internettservere og mobiltelefoner - uten at brukeren kan stoppe inntrengerene.
Skrevet av Einar @ ERtek 26/12-2021
Fredag 9. desember 2021 ble cybersikkerhetsmiljøet verden rundt grundig rystet over en oppdagelse av en svakhet i det Java-baserte loggingsverktøyet Log4j. Det viste seg tidlig at dette kanskje er tidenes hittil største oppdagede svakhet.
Svakheten, som har fått betegnelsen CVE-2021-44228, ble først oppdaget i dataspillet Minecraft, men det viste seg at stort sett alle plattformer var utsatt for denne spesielle svakheten.
Utnyttelsen i Log4j-svakheten fungerer på den måte at en potensiell datakriminell kan skrive en kjørbar kode (se noter) som Log4j-verktøyet vil lese. Siden Log4j er "dum" og ikke klarer å se forskjellen på en kjørbar kode (program) og en hendelse, vil den kjøre denne koden og skaden har da allerede skjedd. Denne koden kan inneholde hva som helst, men i de fleste tilfeller er det åpning av bakveier inn i systemet for å hente informasjon. Det er allerede rapportert hendelser om malware og ransomware (se noter).
Heldigvis er innloggingsinformasjon, passord og betalingsinformasjon kryptert, slik at direkte tilgang til dette ikke blir åpnet med denne svakheten, men det gir kriminelle tilgang til de krypterte dataene, og de kan på denne måten hente denne dataen og behandle den videre for å prøve å hente ut informasjonen. Destruksjon og korrupsjon av data er også dessverre mulig, siden det potensielt kan gi full tilgang til den som utnytter svakheten.
Apache Software Systems har allerede reparert kildekoden til Log4j, men det betyr ikke at faren er over. Denne reparasjonen vil bare være gjeldende for NYE implementasjoner av Log4j, og ikke gjelde for de som allerede eksisterer.
Denne sikkerhetstrusselen er noe som kommer til å eksistere i flere år fremover. Hvis vi ser tilbake på Heartbleed-feilen (se engelskspråklig artikkel på Wikipedia her), så husker kanskje mange at denne feilen eksisterte ganske lenge før det aller meste av sikkerhetshull var tettet. Log4j-feilen er betydelig større enn dette, og kommer til å ha betydning for mange i lang tid fremover.
Log4j er et Java-basert (se noter) loggingsverktøy utviklet av Apache Software Systems. Det er utgitt med fri og åpen lisens, slik at hvem som helst kan bruke, modifisere og dele dette verktøyet uhindret.
Log4j brukes primært til å loggføre begivenheter som skjer i ei datamaskin, det kan være loggføring av feil som oppstår i systemet eller et program, eller rutinemessige operasjoner som foregår som en bakgrunnsprosess i et operativsystem eller applikasjon/program. Altså; helt enkle og ufarlige ting som skjer i alle typer vi har av datamaskiner vi har rundt oss. Log4j kan du finne i en PC, Mac, mobiltelefon, i en bil, stereoanlegget, routere og stort sett alt annet som kan klassifiseres som datamaskin.
Java er et programmeringsspråk som brukes til å skrive datakode. Det er veldig vanlig, og ligger i de aller fleste IT-produktene vi bruker.
Kjørbar kode er datakode som er skrevet slik at det åpnes som et program, og kjøres i datasystemet som en eller flere prosesser. Nesten alle program (eller apper) er kjørbar kode.
Malware er skadelig programvare og er skrevet for blant annet å stjele informasjon eller gi fjerntilgang til systemet.
Ransomware er løsepengevirus, og fungerer slik at et program låser systemet ditt slik at den eneste måten du kan få tilgang til det igjen er å betale løsepenger til den kriminelle for å få opplåsningspassordet for å få tilgang igjen.
Kilder:
cisa.gov
apache.org
...og stort sett hele tech-industrien verden over på alle plattformer.
Org. nr. 926348256
COPYRIGHT © 2022 ERtek Rønningen ENK
