Greška koja može srušiti cijeli internet

Propust u aplikaciji ‘Log4J’ stručnjaci nazivaju većom greškom i od najveće poznate do sada – ‘milenijumske greške’ Y2K.

Aktuelna Log4j greška je mnogo kompleksnija od Y2K greške i ne može se lako, niti brzo, riješiti (Reuters)

U jeku brojnih cyber napada, krađa podataka stotina miliona korisnika društvenih mreža, te “nestanka” stotina miliona dolara u kripto-valutama, vest o softverskoj grešci koja može srušiti veći deo svetske mreže ne deluje kao nikakvo iznenađenje.

“Log4J” je zapravo mala aplikacija, tzv. “plug-in” za veći softverski sistem, u ovom slučaju Apache web server. Stručnjaci propust u ovoj maloj aplikaciji nazivaju većom greškom i od najveće poznate do sada – “milenijumske greške” Y2K.

Indijanski heroji i globalna mreža

Pre dvadeset i dve godine, u decembru 1999. godine, dobar deo zapadne civilizacije je očekivao – kraj sveta. Bližio se jedan celi novi milenijum, a brojni religijski propovednici, kao i oni koji su hteli da dobro zarade od lakovernih građana, najavljivali su “kraj sveta, kao što je to i najavljeno u Bibliji”. Ipak mnogo veći stvarni problem je predstavljala softverska greška, u to vreme nazvana “Y2K error” ili “Milenijumska greška”.

Naime, računari proizvedenih do ranih 90-ih godina koristili su interni sat (main clock) na matičnoj ploči. Ovaj sat je bio u vidu malog čipa koji je obično imao i bateriju od 1.5 V (coin battery) koja je čuvala sadržaj memorije sata. Kako bi se sačuvao memorijski prostor, ovaj interni časovnik je godine predstavljao sa samo zadnje dve cifre, što dugo vemena nije predstavljalo veći problem.

Ali, kada je trebalo preći na 2000. godinu, postalo je jasno da računari neće moći da je razlikuju od 1900. godine. Većina stručnjaka je u to vreme smatrala da će ova Y2K greška dovesti do pada berzi i računarskih sistema, kompanijskih mreža, kao i tadašnjeg (počentnog) Interneta. Neki su čak tvrdili i da će ova greška dovesti do pada softvera u vojnim satelitima i na lansirnim rampama za strateške projektile. Ipak, ništa se od toga nije desilo.

Brojne kompanije su izdale male softverske “zakrpe” (patches) koje su računaru jednostavno govorile da 1900. godinu tretira kao 2000. Bilo je i manjih problema – sve do 2002. godine – obično u računarskim sistemima nastalim krajem 80-ih koji su još uvek koristili stare verzije UNIX ili Windows 3 operativnih sistema.

Ipak, aktuelna Log4j greška je mnogo kompleksnija od Y2K greške i ne može se lako, niti brzo, rešiti. Uzrok ovome je široka rasprostranjenost Apache Web Servera – slobodnog softvera koji je “motor” iz velikog broja internet sajtova i web prezentacija. Gotovo 48 miliona sajtova na internetu pokreće Apache, a na to treba dodati i još barem pet miliona raznih online baza podataka. Apache HTTP server, kako glasi puno ime projekta, je slobodni i besplatni softver iza koga stoji ASF – Apache fondacija. Ime je izabrano po severno-američkom indijanskom plemenu Apache (Apači), koje je važilo za izuzetno napredno, i u tehnologiji, i u ratovanju. Ova fondacija se oslanja na međunarodnu mrežu računarskih eksperata koji doprinose razvoju raznih softverskih projekata, kojih trenutno ima preko četrdeset.

Sam Apache Web Server prestavlja “softverski skelet” za web stranicu – on upravlja prikazom internet prezentacije, upućivanjem posetioca na adekvatnu stranicu, prikazom multimedijalnih datoteka – slika, zvuka i videa, statistikim rada web prezentacije, itd. Log4j prestavlja “logging” deo Apache Servera, koji beleži sve aktivnosti korisnika, administratora, kao i tehničke parametre rada web sajta.

Iako problem u suštini nije previše kompleksan, propust u Log4j softveru omogućava hakerima i napadačima da upotrebe posebno napisan računarski kod, kako bi dobili ovlašćenja “vlasnika sajta”. Kada dobiju takva ovlašćenja, hakeri mogu sa web sajtom raditi sve kao i prvobitno ovlašćeni vlasnik ili administrator. Procene su da je u ovom trenutku neposredno ugroženo više od 12 miliona web sajtova a među njima su i brojne banke, mediji, razne svetske kompanije, te javne službe i agencije sa privatnim podacima stotina milona ljudi. Jedan od prvo primećenih problema je i sa serverima veoma popularne onlajn igre “Minecraft”.

Ono što stručnjake, ali i Vladu SAD i Evropsku uniju posebno brine je činjenica da gotovo svi današnji smartfoni imaju “web oriented” operativne sisteme, što u praksi znači da se velika većina aplikacija oslanja na internet te razne baze podataka, sajtove i servere za svoje funkcionisanje. Evropska unija procenjuje da bi više od dvesta miliona korisnika smartfona moglo biti ugroženo Log4j greškom do polovine januara. Takođe, web pretraživači u našim telefonima (Chrome, Safari, Firefox) takođe se oslanjaju na tehnologije korišćene u Apache Serveru, a kako bi nam isporučili sadržaje web stranica.

Nemanja Tasić, IT stručnjak, kaže da je ova greška poznata programerima već neko vreme.

“Apache server je poznat svakome ko radi sa web prezentacijama, i mrežama uopšte. I u prošlosti je bilo raznih problema sa Apache softverom, ali je to obično rešavano novim verzijama. Globalna Apache  zajednica ima i neka od najznačajnijih programerskih imena današnjice, te se do sada svaka greška rešavala u roku od 72 sata. Problem sa Log4j greškom je što je taj softver delo male grupe programera, te niko nije preterano obraćao pažnju na sigurnost sićušne aplikacije za statistiku web prezentacije. Ono što najviše brine svetske institucije, ali i EU i stručnjake u regionu, je što nije moguće znati na kolikom broju računara je instaliran ovakav ‘šuplji’ Log4j softver. Brojka od 30 do 40 miliona prezentacija pod Apache serverom u praksi znači barem duplo toliko servera, i još barem desetak miliona tzv. ‘front end’ administratorskih računara. Već postoje brojna rešenja za ovaj problem, ali je najveći neprijatelj sada vreme – milioni računara koje treba ‘zakrpiti’ u najkraćem mogućem roku”, objašnjava Tasić.

I hakeri prate vijesti

Naravno, vest o propustima i potencijalnim rizicima u Log4j softveru je odmah primećena i od strane brojnih hakera i malicioznih programera, ali i “državnih hakera”, poput Ruske grupe “Fancy Bear”.

Za prvih 48 sati od kada se saznalo za ovu računarsku grešku početkom decembra, pokušano je više od 800 hiljada hakerskih napada na više od 2,5 miliona računarskih servera. Najveći udar su pretrpele finansijske institucije – hakeri imaju dugu tradiciju prodaje brojeva kreditnih kartica na “Mračnom internetu” (Dark Web). Stručnjaci iz bezbednosne kompanije “Checkpoint” smatraju da će do polovine iduće godine pod manjim ili većim rizikom biti praktično svi serveri na internetu.

Iako (retko) postoje serveri i mreže koje ne koriste Apache, negde “u internet komšiluku” postoji ugroženi server sa kojim treba komunicirati. Ako se Vlade i velike softverske kompanije odmah ne uključe u “krpljenje interneta”, sva je prilika da će biti potrebne godine da se Log4j problem reši – većina stručnjaka smatra da to neće biti moguće pre 2027. godine.

Internet zajednica i stručnjaci već godinama koriste skalu za procenu bezbednosnih opasnosti, nazvanu CVSS (Common Vulnerability Scoring System). Na ovoj skali već pomenuta Y2K greška je bila ocenjena kao “rizik 5”. Sa druge strane, Log4j je ocenjena kao – čista desetka, po prvi put otkad ova skala postoji, i od kad postoji Internet. Stručnjaci savetuju korisnike da preuzmu najnovije verzije aplikacija (update) koje često koriste, a posebno web pretraživača i browsera. Uređaji sa iOS (iPhone i iPad) i noviji Android smartfoni imaju ugrađene opcije pomoću kojih je moguće “osvežiti” više ili sve aplikacije odjednom, ili to telefon može raditi automatski. Američka Obaveštajna agencija za cyber bezbednost (CISA) je Log4j grešku ocenila kao “kritičnu”.

“Očekujemo da u bliskoj budućnosti ova greška bude korišćena od svih poznatih hakerskih grupa koje rade za države”, naveli su u ovoj agenciji.

I nemačka Agencija za elektronsku bezbednost (BSI) takođe je ocenila da je u pitanju kritična greška, dajući joj “rejting” od 9.8 na skali od 10.

Izvor: Al Jazeera