Η πρόσφατη κρίση κυβερνοασφάλειας απαιτεί διαφάνεια

pixabay.com

Οι ειδικοί σε θέματα λογισμικού και κυβερνοασφάλειας πέρασαν σε …crisis mode.

Η αποκάλυψη μιας ευπάθειας λογισμικού σε ένα εργαλείο ανοικτού κώδικα που χρησιμοποιείται από εταιρείες σε όλο τον κόσμο προκάλεσε προειδοποιήσεις για ζημιές σε εταιρείες, καταναλωτές και τεχνολογικές υποδομές.

«Το διαδίκτυο …καίγεται αυτή τη στιγμή», δήλωσε στο Associated Press ο Adam Meyers, κορυφαίο στέλεχος της εταιρείας κυβερνοασφάλειας CrowdStrike.

Ο Charles Carmakal, επικεφαλής της εταιρείας κυβερνοασφάλειας Mandiant, ανέφερε στο Bloomberg ότι το ζήτημα είναι «πιθανώς η χειρότερη ευπάθεια ασφαλείας των τελευταίων τουλάχιστον 10 ετών – ίσως και περισσότερο».

Ο διευθύνων σύμβουλος της LunaSec Free Wortley, η εταιρεία του οποίου φιλοξενεί μια πλατφόρμα ασφάλειας δεδομένων ανοικτού κώδικα, δήλωσε στο Wired ότι η παράλειψη είναι «μια σχεδιαστική αποτυχία καταστροφικών διαστάσεων».

Εν ολίγοις, το πρόβλημα πηγάζει από ένα προηγουμένως μη εντοπισμένο ελάττωμα σε ένα εργαλείο ανοικτού κώδικα, βασισμένο στη Java, που ονομάζεται Log4j, το οποίο επιτρέπει στους προγραμματιστές να καταγράφουν τη δραστηριότητα εντός μιας διαδικτυακής εφαρμογής. Οι χάκερ που είναι σε θέση να εκμεταλλευτούν το εργαλείο θα μπορούσαν να αποκτήσουν πρόσβαση σε διακομιστές της εταιρείας για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα πελατών, όπως αρχεία πληρωμών ή προσωπικές πληροφορίες αναγνώρισης, τα οποία θα μπορούσαν να κρατηθούν για λύτρα.

Οι εταιρείες ασφαλείας και οι προμηθευτές κυκλοφορούν ένα patch, αλλά η λύση «εξαρτάται από το να θέσουν χιλιάδες εταιρείες σε εφαρμογή το fix προτού κάποιος εκμεταλλευθεί το κενό», ανέφερε το Bloomberg.

Αν και η ευπάθεια αποκαλύφθηκε για πρώτη φορά την Πέμπτη, ελάχιστα έχουν δημοσιοποιηθεί για τις επιπτώσεις. Ωστόσο, πολλά από τα μεγαλύτερα ονόματα της τεχνολογίας χρησιμοποιούν το Log4j, συμπεριλαμβανομένων των Apple, Amazon, Twitter και LinkedIn.

«Στην καλύτερη περίπτωση, οι μεγάλες χρηματιστηριακές εταιρείες, οι τράπεζες και οι έμποροι θα επενδύσουν τεράστια ποσά σε έξοδα υπερωριών για να πληρώσουν μεγάλο αριθμό ήδη καταπονημένων υπαλλήλων πληροφορικής για να ‘καθαρίσουν’ αυτό το χάος κατά τη διάρκεια των γιορτών», έγραψε το πρωί της Δευτέρας ο συντάκτης ασφαλείας του Ars Technica, Dan Goodin.

«Αρκεί να θυμάστε την παραβίαση της Equifax το 2017 και την έκθεση των δεδομένων 143 εκατομμυρίων Αμερικανών καταναλωτών που ακολούθησε, όταν η εν λόγω εταιρεία απέτυχε να επιδιορθώσει μια παρόμοια καταστροφική ευπάθεια».

Οι εταιρείες και οι αναλυτές ασφαλείας εξακολουθούν, όπως είναι λογικό, να αξιολογούν την κατάσταση. Οι ειδικοί προειδοποίησαν αυτό το Σαββατοκύριακο ότι θα χρειαστούν αρκετές ημέρες για να αναφέρουν τυχόν ζημίες.

Εάν οι επιπτώσεις αποδειχθούν εκτεταμένες, οι εταιρείες τεχνολογίας και ηλεκτρονικού εμπορίου πρέπει να κινηθούν προληπτικά και με διαφάνεια. Σε μια εποχή μειωμένης εμπιστοσύνης στη Silicon Valley, η παροχή εύκολα προσβάσιμων πληροφοριών θα αποδειχθεί ζωτικής σημασίας για τη διατήρηση ισχυρών δεσμών με τους καταναλωτές.

Οι εκτεταμένες παραβιάσεις θα πρέπει επίσης να ωθήσουν το Κογκρέσο να αναλάβει δράση σχετικά με την απαίτηση από τις ομοσπονδιακές υπηρεσίες, τους κυβερνητικούς εργολάβους και τις εταιρείες που είναι κρίσιμες για την αμερικανική υποδομή να παρέχουν πληροφορίες στην ομοσπονδιακή κυβέρνηση όταν υποστούν παραβίαση. Οι υποστηρικτές της νομοθεσίας λένε ότι το διάταγμα θα βοηθήσει την κυβέρνηση και τους οργανισμούς ζωτικής σημασίας να προετοιμαστούν καλύτερα για κυβερνοεπιθέσεις, ενώ παράλληλα θα δώσει στους νομοθέτες και τους γραφειοκράτες μια καλύτερη αίσθηση των αναγκών κυβερνοασφάλειας.

Η Γερουσία, η Βουλή των Αντιπροσώπων και το Συμβούλιο Βιομηχανίας Τεχνολογίας Πληροφοριών συνεχίζουν να διαφωνούν σχετικά με το πεδίο εφαρμογής και το χρονοδιάγραμμα των προτεινόμενων διαταγμάτων υποβολής εκθέσεων, χωρίς να υπάρχει σαφής κατεύθυνση προς την ψήφιση οποιουδήποτε νόμου.

Οι επόμενες ημέρες και εβδομάδες θα καθορίσουν αν ο πανικός αυτού του Σαββατοκύριακου θα αποδειχθεί δικαιολογημένος. Προς το παρόν, ο κλάδος της τεχνολογίας, οι πελάτες και το Κογκρέσο θα πρέπει να είναι προετοιμασμένοι για να ανταποκριθούν στα χειρότερα.