W grudniu 2021 cały świat IT wstrzymał oddech, gdy okazało się, że w bibliotece open source’owej Apache wykryto lukę, którą uznano za jedną z najbardziej niebezpiecznych (10/10 punktów w skali krytycznego cyberzagrożenia). Wg badaczy z firmy ESET, Polska była trzecim krajem na świecie, pod względem ilości podejmowanych prób cyberataków, po ogłoszeniu o luce w bibliotece Apache’a. Dlaczego właśnie ten błąd nazywany jest przez niektórych zagrożeniem dla większości Internetu? W jaki sposób można ochronić swój biznes przed atakami hakerskimi spowodowany luką w Log4j?
Czym jest Log4j?
Apache Log4j, czyli Apache Logging Project to darmowa (dostępna dla każdego) biblioteka bazująca na oprogramowaniu Java. Korzystają z niej na co dzień m.in. Apple, IBM, Amazon, Microsoft, a więc światowi giganci. Wśród powszechnych usług, w tym także rozrywkowych, które wykorzystują Log4j, znajdują się: gra Minecraft i chmura Apple’a, którą codziennie wykorzystują miliony użytkowników. Biblioteka Apacha została tak zaprojektowana, by można było wyszukać żądania za pomocą specjalnej składni.
Dlaczego luka w Log4j była tak niebezpieczna?
Luka w Log4j powoduje, że hakerzy mogą bez problemu opracować własny prefiks dla żądania, dzięki któremu będą mogli uruchomić zdalnie niebezpieczne oprogramowanie lub doprowadzą do masowego wycieku danych. Trudno się dziwić, że informacja o błędzie, któremu nadano nazwę CVE-2021-44228, poruszyła świat IT. Perspektywa utraty poufnych danych, które można wyciągnąć bez specjalnego wysiłku, nie napawała optymizmem. W trakcie prób łatania luki w bibliotece Apache’a zarejestrowano ponad milion prób ataków za pomocą złośliwych programów, które służą do kopania kryptowalut. Firma Microsoft ustaliła, że opłacani przez państwa hakerzy z Chin, Iranu, Korei Północnej i Turcji podejmowali próby wykorzystania błędu w Log4j.
Ataki ransomware. Czym są?
Ze względu na lukę w Log4 znacznie wzrosło ryzyko ataków ransomware, które polegają na zdalnym zablokowaniu dostępu do telefonu lub komputera za pomocą złośliwego oprogramowania, do momentu spełnienia żądań hakera przez właściciela sprzętu. Najczęstszym żądaniem jest oczywiście żądanie okupu. Przykładem skutecznego wykorzystania ataków ransomeware jest tzw. crypto-ransomeware, dzięki któremu atakujący może zaszyfrować pliki na urządzeniu oraz w chmurze.
Właściciel traci dostęp do nich do momentu, w którym nie zapłaci hakerowi odpowiedniej kwoty. Istnieje także złośliwe oprogramowanie, które blokuje właścicielowi dostęp do dysku twardego i uniemożliwia włączenie systemu operacyjnego. Jak przeciętny użytkownik smartfona może uchronić się przed tego rodzaju atakiem? Przede wszystkim, nie powinien wchodzić w podejrzane linki, które rozsyłane są masowo przez atakujących, którzy podszywają się pod znane i lubiane portale aukcyjne (Allegro) lub Inpost.
Od jakiegoś czasu można też zauważyć wzrost podejrzanych smsów o treści, która informuje właściciela telefonu o braku możliwości dostarczenia zamówionej przez niego paczki wraz z instrukcją postępowania. Na ten rodzaj wyłudzeń są narażeni przede wszystkim seniorzy, dlatego warto ich uczulać na to, by od razu kasowali podejrzane wiadomości.
Jaką lekcję można wyciągnąć z sytuacji z luką w Log4j?
Wbrew pozorom, Twój biznes nigdy nie będzie w pełni bezpieczny. To fakt, który warto zawsze mieć z tyłu głowy, prowadząc dochodowy biznes. Z tego względu, warto pamiętać o wdrożeniu odpowiednich zabezpieczeń. W razie podejrzeń o atak hakerski trzeba przeprowadzić (w miarę możliwości) działania, które pozwolą na takie rozwiązanie problemu, które będzie szybkie, efektywne i najmniej kosztowne.
W razie podejrzenia o wyciek poufnych danych spowodowany atakiem z zewnątrz eksperci zalecają przeprowadzenie:
- dokładnego audytu infrastruktury;
- dokładnej analizy dostaw oprogramowania oraz listy programów używanych w firmie;
- aktywnego i wnikliwego monitoringu infrastruktury, celem wyłapania potencjalnych prób wykorzystania luk w oprogramowaniu oraz szybka reakcja na
- wykrycie podejrzanych struktur.
Oczywiście wdrażając takie działania, nie zyskasz 100% pewności, że podobne ataki nie powtórzą się w przyszłości.
Kto może najwięcej stracić na podobnych błędach w przyszłości? Specjaliści nie mają złudzeń — najwięcej do stracenia mają publiczne szkoły, szpitale i kliniki, które nie mają prężnie działającego działu IT, a za cyberbezpieczeństwo odpowiada jeden człowiek, często nieposiadający odpowiednich kompetencji i narzędzi do walki z cyberprzestępczością. Jeśli chodzi o PR-owe straty, największe poniosą duże korporacje, ale nawet na naszym rodzimym podwórku zdarzają się sytuacje regularnego wycieku danych (ujawnianie treści prywatnych maili jednego z polskich polityków rządzących), które mocno osłabiają pozycję partii, a przy okazji stanowią PR-ową katastrofę.
Lekcja, jakiej uczy sytuacja z luką w Log4j, jest uniwersalna i ponadczasowa — należy pamiętać o nieustannym zagrożeniu ze strony cyberprzestępców, które jest realne nie tylko przez luki systemowe, ale także na co dzień. Chociaż nigdy nie zdołamy zabezpieczyć się w 100% przed atakami ze strony hakerów, lepiej jest się wcześniej odpowiednio zabezpieczyć i zyskać pewność, że zrobiło się wszystko, by jak najlepiej zabezpieczyć poufne dane przed niechcianym ujawnieniem.