Iako običnim smrtnicima izraz 'Log4Shell' ne znači mnogo (ili je tako barem bilo donedavno), kibernetičkim stručnjacima od njega se diže kosa na glavi. 'Opasna softverska greška', 'Epska ranjivost', 'Pakao Log4Shella', 'Nedostatak koji će ostaviti dugu sjenu u svijetu tehnologije', 'Svakog sata milijuni pokušaja iskorištavanja softverskog nedostatka' – samo su neki od hrvatskih i stranih naslova koji su vrištali u prosincu o novoj velikoj softverskoj opasnosti. Vlade i tvrtke su pod uzbunom jer je pristup njihovim podacima ugrožen, no s tom ugrozom, kako stvari stoje, morat će se dulje nositi jer se ranjivost ne može otkloniti tako brzo.
Najveća ranjivost do sada
Tino Šokić, stručnjak za informacijsku sigurnost, smatra da otkriće te ranjivosti, koja je klasificirana kao ranjivost nultog dana (eng. 0-day vulnerability), dovodi u pitanje ne samo temelje tehnologije, nego i sigurnost korisnika i onih koji razvijaju tu tehnologiju. Izraz nulti dan, objasnio je, označava ranjivost ili sigurnosni propust u računalnoj aplikaciji koji je otkriven i poznat je napadačima prije nego što za njega znaju proizvođač i javnost te je nastao kao vremenska oznaka za tu vrstu ranjivosti.
– Log4j je programski paket, odnosno biblioteka (eng. library) pisana u programskom jeziku Java koja omogućuje programerima da bilježe (eng. log) aktivnosti svojih aplikacija. Pronađena ranjivost na biblioteci koja se vodi pod nazivom Log4Shell omogućuje napadaču da uz točno konstruiran unos u aplikaciju, primjerice putem neke forme za unos na aplikaciji, omogući izvršavanje neautoriziranoga programskoga kôda na sustavu (eng. Remote Code Execution). Sama ranjivost je prema svjetskom katalogu za ranjivosti (eng. CVSS – The Common Vulnerability Scoring System) objavljena i označena kao najviša razina ugroze s vrijednošću 10.0 (kataloška oznaka: CVE-2021-44228). Cijela sigurnosna zajednica govori o toj ranjivosti kao najvećoj do sada, najviše zato što se vrlo lako zloupotrijebi, a uređaji i sustavi koji su ugroženi broje se s devet znamenaka, odnosno u milijardama – iznosi Šokić.
Uklanjanje rizika
Mišljenja je da će ta ranjivost biti s nama određen broj godina, unatoč činjenici da već postoje preporuke kako je ukloniti, odnosno postoji već objavljena novija verzija biblioteke Log4j – v2.16.0 i v2.17.0, koja ne sadrži sporni propust. Za njega je glavni argument činjenica da takva ranjivost omogućuje napadačima da zaraze sustav i implementiraju zlonamjeran programski kôd, na primjer ucjenjivački softver (eng. ransomware) i ostave ga u sustavu neaktivnog dok se ne stvori nesretna 'potreba'.
– Čudi me što imamo mnogo kritične internetske infrastrukture koja ovisi o nekoliko programera koji ažuriraju, odnosno održavaju neki komad softvera u svoje slobodno vrijeme, a taj programski kôd upotrebljavaju sve najveće tvrtke i organizacije svijeta. Za ilustraciju: moguće je iskoristiti ranjivost jednostavnim upisom određenoga kôda u neko polje predviđeno za unos kao što je recimo polje za pretraživanje na mrežnoj stranici, pa su tako kolege iz sigurnosne zajednice preimenovali svoje mobilne uređaje iPhone u maliciozan kôd te aktivirali ranjivost na sustavima Apple. Nakon što su Appleovi poslužitelji pročitali nove nazive iPhonea, a time i novi kôd, počeli su raditi nešto što ne bi smjeli. To je kao da netko pošalje običan SMS, ali s kôdom, odnosno instrukcijom čija je zadaća izbrisati cijeli primateljev imenik na telefonu. Primatelj je samo pročitao poruku, ali je zato ranjivost uspješno eksploatirana. Vrlo slična metoda je primijenjena na igraćim platformama Steam, Minecraft te automobilima Tesla. To nije krivnja programera i razvoja, već svih 'nas' oko njih. Mnoge stvari uzimaju se zdravo za gotovo i s mišljenjem da imamo pravo nečim se koristiti samo zato što je jednostavno dostupno, u ovom slučaju pod licencijom otvorenoga kôda (eng. open-source license). Možemo bolje, jer ako najkompleksniji sustavi svijeta mogu pasti zbog jednog unosa u neko polje za online prijavu, onda nam tehnološka budućnost nije lakša već teža – tvrdi Šokić.
Postoji više metoda kako ukloniti ili barem umanjiti rizik od iskorištavanja te ranjivosti, ali po Šokiću je prva stvar skeniranje sustava kako bi se vidjelo postoji li uopće takva ranjivost. Potom dolazi ažuriranje, kaže, pa tako postoji ažurirana verzija biblioteke te je u izdanju 2.15.0 sporna funkcionalnost (eng. lookup functionality) isključena kao zadana funkcionalnost, a u ostalim je novijim verzijama ranjivost uklonjena u cijelosti.
– Druge metode, poput korištenja vatrozida za aplikacije (eng. WAF – Web Application Firewall), ne rješavaju u cijelosti problem, jer propust i dalje postoji, a pomoću te metode samo sprječavamo pristup. Ažuriranje kao najbolja metoda može biti i najgora, jer neki sustavi ne mogu ažurirati jer bi to ažuriranje 'potrgalo' neki drugi dio sustava. Svaka bi tvrtka svakako trebala imati dediciranu osobu za informacijsku sigurnost, odnosno one tvrtke u kojima to nije moguće, iako je nužno, mogu ugovoriti vanjskog suradnika – savjetuje Šokić.
Oponašanje hakera
Računalna ranjivost Log4j utječe na gotovo sve informacijske sustave, od oblaka do razvojnih alata i sigurnosnih uređaja, istaknula je Kristina Oršanić Kopić, konzultantica za ICT sigurnost u A1 Hrvatska. Stručnjaci su, dodala je, već upozorili na stotine tisuća pokušaja neovlaštenih upada u sustave putem Log4j Java biblioteke i trenutačno je prepoznata kao najveća sigurnosna ranjivost na internetu kojom su ugroženi podaci kompanija i institucija diljem svijeta. A1 Hrvatska, poručila je, uz ostale sigurnosne mjere, prati svjetske baze ranjivosti te pravodobno primjenjuje sigurnosne zakrpe kako bi se izbjegli mogući problemi za korisnike usluga A1.
– Za zaštitu je ključno identificirati mrežne uređaje poput pristupnih točaka, pa čak i servera koji pokreću Log4j, i nadograditi ih na posljednju verziju, 2.15.0. Svaka kompanija trebala bi imati voditelja kibernetičke sigurnosti, ali i tim koji može raditi na prevenciji i otkrivanju kibernetičkih napada te obrani od njih. A1 Hrvatska poslovnim korisnicima omogućava podizanje otpornosti na hakerske napade otkrivanjem nedostataka u sustavu sigurnosti putem alata koji oponaša hakerske napade automatizirajući otkrivanje ranjivosti – opisala je Oršanić Kopić.
– Svatko otkriće ranjivosti možemo smatrati i prilikom za tvrtke da uklone nesigurnosti za koje nisu ni znale da postoje – napominje Domagoj Pehar, direktor Sektora poslovnih infrastrukturnih rješenja i integracije za IP komunikaciju i sigurnost u Combisu. Sigurnost često zanemarujemo dok se ne dogodi proboj, a nakon objave ranjivosti Log4J Java modula Log4Shell njihovi stručnjaci neprestano prate situaciju i potencijalne rizike, poručio je. Stalno nadziru javni prostor, nastavio je Pehar, obavještajne kanale sigurnosnih zajednica, forume te preporuke proizvođača kako bi mogli pravodobno reagirati, obavijestiti i savjetovati svoje korisnike. I on ocjenjuje da je ozbiljnost prijetnje vrlo visoka jer omogućava napadačima direktan pristup izloženim sustavima.
– Trendovi sigurnosti veoma su zahtjevni jer je broj hakerskih napada u stalnom porastu. Osmislili smo stoga jednostavnu uslugu objedinjene sigurnosti, kojom je sigurnost obuhvaćena potpuno. Smatramo da je takav pristup najbolji za kompanije jer je putem sigurnosnoga operativnog centra koji je dio našeg 30SEC portfelja omogućena brza detekcija i reakcija na cybersecurity napade. Prioritet je ne čekati da hakeri učine prvi korak pa ovdje potpuno vrijedi izreka: Bolje spriječiti nego liječiti – objašnjava Pehar.
Provedene mjere
Svaka će tvrtka, prema Peharovu mišljenju, na temelju svojih potreba, veličine, kompleksnosti i informacijske vrijednosti kojom raspolaže procijeniti treba li voditelja kibernetičke sigurnosti, a to može biti i vanjski pružatelj usluge sigurnosti. I Hrvatski Telekom naglašava da pridaje osobitu važnost informacijskoj sigurnosti i redovito poduzima odgovarajuće mjere u otkrivanju i otklanjanju mogućih rizika. Pri tome DT Grupa ima uspostavljenu funkciju upravljanja sigurnosnim rizicima koja, između ostalog, uključuje upozorenja i postupanja u slučaju pojave sigurnosnih ranjivosti, a Hrvatski Telekom uvjerava da je pravodobno poduzeo sve raspoložive mjere u otkrivanju i otklanjanju potencijalne sigurnosne opasnosti.