Zvonijo alarmi: kritična napaka na priljubljeni programski opremi vas lahko izpostavi vdoru
Programska oprema Log4j se lahko se pojavi v priljubljenih aplikacijah in na spletnih mestih, na stotine milijonov naprav po vsem svetu, ki dostopajo do teh storitev, pa bi lahko bilo izpostavljenih nevarnostim vdora. Jen Easterly, vodja ameriške agencije za kibernetsko varnost in varnost infrastrukture, je incident že ocenila za enega najresnejših v njeni karieri.
Po podatkih podjetja Check Point je bilo od torka več kot 100 poskusov vdora na minuto. »Potrebovali bodo več let, da se napaka popravi, napadalci pa bodo to poskušali izkoristiti vsakodnevno. To je časovna bomba za podjetja,« je dejal David Kennedy, izvršni direktor podjetja za kibernetsko varnost TrustedSec.
Kaj je Log4j in zakaj je pomemben?
Po mnenju strokovnjakov za kibernetsko varnost je Log4j ena izmed najbolj priljubljenih zapisnih datotek, ki se uporablja na internetu. Log4j omogoča razvijalcem programske opreme, da izdelajo evidence dejavnosti, ki se uporabljajo za različne namene, kot so odpravljanje težav, revizija in sledenje podatkom. Ker je odprtokodna in brezplačna, se nahaja povsod na internetu.
»Tudi če ste razvijalec, ki ne uporablja Log4j neposredno, morda še vedno uporabljate ranljivo kodo, ker je ena od odprtokodnih knjižnic, ki jih imate, odvisna od Log4j,« je za CNN povedal Chris Eng, glavni raziskovalec v podjetju za kibernetsko varnost Veracode.
Zakaj je ta varnostna napaka tako nevarna?
Strokovnjaki so še posebej zaskrbljeni, da lahko hekerji zlahka dostopajo do računalniškega strežnika podjetja, kar jim omogoča vstop v druge dele omrežja. Prav tako je zelo težko najti ranljivo mesto ali videti, ali je sistem že ogrožen, meni Kennedy.
Kaj lahko naredite, da se zaščitite?
Pritisk na podjetja je velik. Za zdaj bi morali ljudje poskrbeti za posodobitev naprav, programske opreme in aplikacij, podjetja pa bodo v prihodnjih dneh in tednih izdala dodatna navodila.
