Vad Log4Shell lÀr oss om sÀkerhet med öppen kÀllkod

SÀkerhetsledaren för öppen kÀllkod Brian Behlendorf diskuterar effekten av Log4j


En allvarlig sĂ€kerhetsrisk upptĂ€cks i en mjukvara med öppen kĂ€llkod – ofta anvĂ€nd bakom kulisserna pĂ„ internet men föga kĂ€nd för den genomsnittliga personen – som kan ge angripare tillgĂ„ng till en skattkammare av kĂ€nslig data.

Incidenten avslöjar hur en sÄrbarhet i en till synes enkel bit av infrastrukturkod kan hota sÀkerheten för banker, teknikföretag, regeringar och i stort sett alla andra typer av organisationer.

Företag tÀvlar för att ÄtgÀrda problemet men fruktar att det kommer att plÄga internet i flera Är.

LÄter som Log4Shell, det tidigare okÀnda felet i ett allestÀdes nÀrvarande och gratis program som har flippat ut experter sedan det kom i dagen förra veckan, eller hur? Ja, men den beskriver ocksÄ ett kusligt liknande avsnitt frÄn 2014. Kommer du ihÄg Heartbleed?

Heartbleed var en bugg i OpenSSL, det mest populÀra biblioteket med öppen kÀllkod för att köra protokollen Transport Layer Security (TLS) och Secure Sockets Layer (SSL) som anvÀnds för att kryptera webbplatser och programvara.

Felet, som gjorde det möjligt för hackare att lura en sÄrbar webbserver att skicka dem krypteringsnycklar och annan konfidentiell information, var kopplat till flera attacker, inklusive en mot en stor amerikansk sjukhusoperatör som resulterade i stöld av 4,5 miljoner vÄrdjournaler. Forskare pÄ Google och programvaruföretaget Codemonicon upptÀckte pÄ egen hand sÄrbarheten och rapporterade den i april 2014.

Efter att Heartbleed kom i dagen undrade vÀrlden hur illvilliga aktörer kunde kompromissa med en mjukvara som var sÄ viktig för internets sÀkra drift. För mÄnga vÀckte incidenten ocksÄ frÄgor om sÀkerheten för all programvara med öppen kÀllkod.

Spola framÄt till december 2021 och samma frÄgor dyker upp.

Liksom OpenSSL Ă€r Log4j – Java-programmet som Ă€ventyras av Log4Shell-felet – ett allmĂ€nt anvĂ€nt bibliotek med öppen kĂ€llkod för flera plattformar. Utvecklad och underhĂ„llen under överinseende av Apache Software Foundation, som Ă€r frivillig, distribueras Log4j pĂ„ servrar för att registrera anvĂ€ndares aktiviteter sĂ„ att de kan analyseras senare av sĂ€kerhets- eller utvecklingsteam.

Hackare kan anvÀnda felet för att komma Ät kÀnslig information pÄ en mÀngd olika enheter, plantera ransomware-attacker och ta över maskiner för att bryta kryptovalutor. SÄrbarheten upptÀcktes nÀstan av en slump nÀr Microsoft meddelade att de hade hittat misstÀnkt aktivitet i Minecraft: Java Edition, ett populÀrt videospel som de Àger.

Jen Easterly, chef för Department of Homeland Securitys Cybersecurity and Infrastructure Security Agency, sa: “För att vara tydlig, utgör denna sĂ„rbarhet en allvarlig risk… Vi uppmanar alla organisationer att gĂ„ med oss ​​i denna viktiga anstrĂ€ngning och vidta Ă„tgĂ€rder.”

Som med Heartbleed illustrerar Log4Shell hur förekomsten av öppen kĂ€llkod i företag runt om i vĂ€rlden – program som OpenSSL och Log4j och den mĂ€ngd kod som beror pĂ„ dem i modern mjukvaruutveckling – har alltmer gjort det till ett favoritattackmĂ„l.

NĂ€stan varje organisation anvĂ€nder nu en viss mĂ€ngd öppen kĂ€llkod, tack vare fördelar som lĂ€gre kostnad jĂ€mfört med proprietĂ€r programvara och flexibilitet i en vĂ€rld som alltmer domineras av cloud computing. Öppen kĂ€llkod försvinner inte nĂ€r som helst snart – tvĂ€rtom – och hackare vet detta.

NĂ€r det gĂ€ller vad Log4Shell sĂ€ger om sĂ€kerhet med öppen kĂ€llkod, tror jag att det vĂ€cker fler frĂ„gor Ă€n det besvarar. Jag hĂ„ller generellt med om att programvara med öppen kĂ€llkod har sĂ€kerhet pĂ„ grund av de mĂ„nga vaksamma ögonen bakom den – alla de bidragsgivare över hela vĂ€rlden som Ă€r engagerade i ett programs kvalitet och sĂ€kerhet. Men nĂ„gra frĂ„gor Ă€r rimliga att stĂ€lla:

Vem tar hand om portarna nĂ€r det gĂ€ller att sĂ€kra grundlĂ€ggande program som Log4j? Apache Foundation sĂ€ger att de har mer Ă€n 8 000 engagerade som samarbetar i 350 projekt och initiativ, men hur mĂ„nga Ă€r engagerade för att hĂ„lla ett öga pĂ„ en Ă€ldre, kanske “trĂ„kig” som Log4j?

Borde stora företag med djupa fickor förutom Google, som alltid verkar vara starkt involverade i sÄdana hÀr frÄgor, göra mer för att stödja saken med mÀnniskor och resurser?

Och slutligen, varför verkar det alltid ta avslöjandet av en sÄrbarhet i ett program med öppen kÀllkod innan vÀrlden inser hur kritiskt det programmet Àr? Gör branschen tillrÀckligt för att kÀnna igen vad dessa programvarupaket Àr och prioritera deras sÀkerhet?

Log4Shell, som Heartbleed före det, visar att, om inte annat, dessa frÄgor bör stÀllas och besvaras.

Justin Dorfman Àr programansvarig för öppen kÀllkod pÄ cybersÀkerhetsföretaget Reblaze.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.