Falha no software Log4j é ‘endêmica’, diz novo painel de segurança cibernética
“O Log4j é uma das vulnerabilidades de software mais sérias da história”, disse o presidente do conselho, Subsecretário do Departamento de Segurança Interna Rob Silvers, a repórteres na quarta-feira.
A falha Log4j, tornada pública no final do ano passado, permite que invasores baseados na Internet assumam facilmente o controle de tudo, desde sistemas de controle industrial a servidores da Web e eletrônicos de consumo.
Os primeiros sinais óbvios da exploração da falha apareceram no Minecraft, um jogo online extremamente popular de propriedade da Microsoft.
A descoberta da falha gerou alertas urgentes de funcionários do governo e esforços maciços de profissionais de segurança cibernética para corrigir sistemas vulneráveis.
O conselho disse na quinta-feira que “surpreendentemente” a exploração do bug Log4j ocorreu em níveis mais baixos do que os especialistas previram. O conselho também disse que não tinha conhecimento de nenhum ataque Log4j “significativo” em sistemas de infraestrutura crítica, mas observou que alguns ataques cibernéticos ir sem informar.
O conselho disse que ataques futuros são prováveis em grande parte porque o Log4j é rotineiramente incorporado a outros softwares e pode ser difícil para as organizações encontrarem em execução em seus sistemas.
“Este evento não acabou”, disse Silvers.
Log4j, escrito na linguagem de programação Java, registra a atividade do usuário em computadores. Desenvolvido e mantido por um punhado de voluntários sob os auspícios da Apache Software Foundation de código aberto, é extremamente popular entre os desenvolvedores de software comercial.
Um pesquisador de segurança da gigante de tecnologia chinesa Alibaba notificou a fundação em 24 de novembro. Demorou duas semanas para desenvolver e lançar uma correção. A mídia chinesa informou que o governo puniu o Alibaba por não relatar a falha antes às autoridades estatais.
O conselho disse na quinta-feira que encontrou “elementos preocupantes” com a política do governo chinês em relação à divulgação de vulnerabilidades, dizendo que poderia dar aos hackers do Estado chinês uma visão antecipada de falhas de computador que eles poderiam usar para meios nefastos, como roubar segredos comerciais ou espionar dissidentes.
O governo chinês há muito nega irregularidades no ciberespaço e disse ao conselho que incentiva o compartilhamento de informações aprimoradas sobre vulnerabilidades de software.
O conselho ofereceu uma série de recomendações para mitigar as consequências da falha do Log4j, além de melhorar a segurança cibernética em geral. Isso inclui a sugestão de que universidades e faculdades comunitárias tornem o treinamento em segurança cibernética uma parte obrigatória dos programas de graduação e certificação em ciência da computação.
O Conselho de Revisão de Segurança Cibernética é modelado após o Conselho Nacional de Segurança em Transportes, que analisa acidentes de avião e outros acidentes graves, e foi determinado por uma ordem executiva assinada por Biden em maio passado.
O conselho de 15 membros é composto pelo FBI, Agência de Segurança Nacional e outros funcionários do governo, bem como pessoas do setor privado.
Alguns defensores do novo conselho criticaram o DHS por demorar tanto para colocá-lo em funcionamento.
A ordem executiva de Biden orientou o conselho a realizar sua primeira revisão da enorme campanha russa de espionagem cibernética conhecida como SolarWinds.
Os hackers russos conseguiram violar várias agências federais, incluindo contas pertencentes aos principais funcionários de segurança cibernética do DHS, embora as consequências dessa campanha ainda não estejam claras.
Silvers disse que o DHS e a Casa Branca concordaram que revisar a falha do Log4j era um melhor uso da experiência e do tempo do novo conselho.
FacebookTwitterLinkedin
Source link
