De afgelopen week is er veel in het nieuws over Log4J. De kwetsbaarheid in deze tool verdient het om uitgelegd te worden in gewonemensentaal. Dus, wat is er nu weer aan de hand in cybersecurityland?
Software wordt ontwikkeld in verschillende ‘talen’. Één daarvan is Java. Niet te verwarren met JavaScript, dat is net iets anders. Log4j is een tool die gebruikt wordt om meldingen vanuit software geprogrammeerd in Java vast te leggen.
Dat is handig omdat je dan problemen makkelijker kan detecteren en oplossen. Het probleem dat nu aan de hand is met deze tool is dat je deze heel makkelijk kan gebruiken om van buitenaf commando’s naar het systeem te sturen.
Omdat de tool op een server staat en daar toegang toe heeft kun je door middel van die commando’s de server eigenlijk alles laten doen wat de beheerder daarvan ook zou kunnen. Zo kun je bijvoorbeeld data stelen of gijzelsoftware op het systeem plaatsen.
Hier hebben criminelen bij het bekend worden van de kwetsbaarheid lucht van gekregen en die zijn, zoals dat altijd gebeurt, meteen aan de slag gegaan om kwetsbare systemen te zoeken op het internet om die aan te vallen. Een paar dingen die interessant zijn aan deze situatie;
Deze tool is ooit ontwikkeld door een paar slimme mensen die het sinds jaar en dag vrijwillig onderhouden, samen met een community die hierbij helpt. De code hiervan is publiek en iedereen mag eraan meewerken. ‘open source’ noemen we dat.
Doordat dit zo’n goede tool was is het gebruik ervan wijd verspreid, maar eigenlijk kun je het zien als een soort uit de hand gelopen hobbyproject. Veel software en tools en eigenlijk het hele internet zijn ooit zo ontstaan.
Software ontwikkelaars werken graag met dit soort handige tools want het maakt hun werk makkelijker. Probleem is alleen dat hier vrij weinig controle op plaatsvindt vanuit organisaties. Omdat het vaak gratis of goedkoop is weet men soms niet eens dat ze de tool in huis hebben.
En dat maakt deze situatie nu weer zo spannend. Kom er maar eens achter waar je organisatie of je leveranciers die tool gebruiken en dan moet je ook nog sneller dan het licht updaten omdat er al aangevallen wordt.
Als klap op de vuurpijl bleek de nieuwe versie wéér een kwetsbaarheid te bevatten waardoor de beheerders van systemen nog even niet naar bed konden maar nóg een rondje moesten updaten.
Het lijkt erop dat dit de grootste en meest wijd verspreide kwetsbaarheid ooit is. Er zullen waarschijnlijk nog jaren aanvallen worden uitgevoerd op kwetsbare systemen.
Het is ook waarschijnlijk dat dit niet de laatste keer is dat we dit gaan zeggen. Daarom is het zo belangrijk dat we hiervan leren. Wat ik in deze situatie mooi vond om te zien is de samenwerking van het NCSC met security bedrijven.
Hierdoor kon er super snel informatie gedeeld worden over geraakte software, manieren om te achterhalen of je kwetsbaar en/of aangevallen bent en hoe de kwetsbaarheid voorkomen kan worden. Dit heeft veel schade voorkomen bij organisaties.
Roos Dijkxhoorn