Los investigadores acaban de identificar una falla de seguridad en un programa de software llamado Log4J, ampliamente utilizado por una serie de entidades privadas, comerciales y gubernamentales para registrar detalles que van desde nombres de usuario y contraseñas hasta transacciones con tarjetas de crédito. Desde que se encontró el problema técnico el fin de semana pasado, la comunidad de ciberseguridad ha estado luchando para proteger las aplicaciones, los servicios, la infraestructura e incluso los dispositivos de Internet de las cosas de los delincuentes, que ya se están aprovechando de la vulnerabilidad.
“Para los ciberdelincuentes, esta Navidad llega temprano, porque el cielo es el límite”, dice Theresa Payton, ex directora de información de la Casa Blanca y directora ejecutiva de Fortalice Solutions, una empresa consultora de ciberseguridad. “En realidad, solo están limitados por su imaginación, sus conocimientos técnicos y su propia capacidad para explotar este defecto”. Payton habló con Científico americano sobre lo que hace Log4J, cómo los delincuentes pueden usar su debilidad recién descubierta y qué se necesitará para reparar el problema.
[An edited transcript of the interview follows.]
¿Qué es Log4J y cómo se usa?
Tanto en los equipos de tecnología como en los de ciberseguridad, todo el mundo necesita registros realmente buenos. Necesita el registro para pistas de auditoría, en caso de un evento de ransomware, para realizar análisis forenses, a veces por consideraciones normativas. Y entonces [Log4J] es una característica y función de Java en la que registra cosas. Podrías registrar el hecho de que alguien usó este tipo particular de tarjeta de crédito, podrías registrar el hecho de que alguien acaba de iniciar sesión hoy, se podría capturar cualquier número de diferentes tipos de eventos.
Pero Log4J tiene una falla de seguridad importante.
Este tipo de vulnerabilidad significa que alguien puede inyectar instrucciones en los registros y hacer que los registros hagan lo que ellos quieran. Los investigadores descubrieron esta vulnerabilidad, y siempre agradezco a los investigadores, a principios de diciembre. Básicamente, permite que un atacante tenga acceso de código remoto no autenticado a los servidores. Para que puedan enviar instrucciones, ejecutar cosas y, potencialmente, hacerlo sin ser detectado. Ya ha habido ejemplos en los que los atacantes han aprovechado la vulnerabilidad Log4J. Instalaron malware de minería de criptomonedas en máquinas desconocidas. Si recordamos que la botnet Mirai se ha apoderado de Internet de las cosas, parece que la botnet Mirai también está intentando aprovecharla.
¿Qué más pueden hacer los ciberdelincuentes con esta vulnerabilidad?
Debido a que se está registrando, podría inyectar una instrucción para decir: “Cuando inicie sesión con las credenciales de un usuario, envíelas también aquí”. Y será un lugar donde el ciberdelincuente se dispondrá a capturar las credenciales de inicio de sesión. Casi puede crear su propio comando y control de registros de ciberdelincuentes. Los registros pueden registrar casi cualquier cosa, como inicios de sesión, información de tarjetas de crédito, información de pago. Solo depende de cómo un desarrollador decidió usar esa característica y funcionalidad de registro: qué tipo de datos hay en ese registro y si está encriptado o no. La pregunta es, ¿existen diferentes salvaguardas alrededor de la tala? ¿Y hay algún tipo de monitoreo en torno al registro para ver si el registro en sí tiene un comportamiento anómalo o no? Si una organización no está buscando un comportamiento anómalo, no se dará cuenta de que, una vez que se registre un ID de usuario y una contraseña, también se fue a otro lugar.
En el lado del equipo de seguridad, ya que todos corremos contra el reloj para encontrar, parchear, remediar, observar, registrar e intentar solucionar estos problemas, los ciberdelincuentes se aprovecharán de la vulnerabilidad. Los ciberdelincuentes tienden a compartir y crear diferentes ataques. Lo más probable es que exista crimeware como un servicio que estará disponible para que los ciberdelincuentes y personas sin conocimientos técnicos puedan aprovecharlo.
¿Qué significa esto para las personas que no trabajan en ciberseguridad, pero que utilizan aplicaciones y servicios como parte de la vida diaria?
Potencialmente, podría descubrir que fue víctima de un robo de identidad. Potencialmente, podría iniciar sesión (para obtener servicio de cualquier número de empresas con las que hace negocios) y descubrir que tienen una interrupción y que podrían estar lidiando con este problema. Puede intentar ponerse en contacto con una organización gubernamental para verificar un reembolso o pagar un impuesto y no puede hacerlo, porque alguien lo comprometió a través de esta vulnerabilidad en particular.
Es difícil decir exactamente cómo se desarrollará esto, porque todavía estamos en los primeros días de comprensión real. Esto tiene el potencial de tener una cola muy larga, de ser un problema durante un largo período de tiempo. Esto no es “parchear todo este fin de semana, y luego todos volveremos a las vacaciones de Navidad”.
¿Qué se debe hacer para solucionar este problema?
Me gusta usar la analogía de un clavo de construcción, [which] podría usarse en una casa, un edificio, un puente. Y si alguien dijera: “Nos acabamos de dar cuenta de que todos estos clavos de construcción tienen una vulnerabilidad y podrían volverse inoperables en cualquier momento”. Hay muchos tipos diferentes de clavos de construcción, pero tienes que averiguar dónde los usaste. esta uña. Y ahora les pedimos a las empresas de construcción que encuentren y reemplacen los clavos antes de que fallen.
Tiene grandes empresas y conjuntos de infraestructura, que ahora deben emprender esta búsqueda de investigación. [for Log4J in their systems]. Muchas veces la gente no se sienta y hace un plano detallado. Tener un inventario preciso de dónde se ha implementado esta función de registro, dentro de su código, es un montón de agujas en muchos pajar diferentes. Por lo general, cuando tenemos una vulnerabilidad de seguridad como esta, el oficial de seguridad puede hacerse cargo y decir: “Yo seré el dueño de esto y yo seré el dueño del esfuerzo de remediación”. Esto es diferente, porque es una cadena de suministro: muchas personas usan código abierto, usan proveedores externos, usan desarrollo y widgets en el extranjero, y todo [these software sources] potencialmente podría tener Log4J. La cadena de suministro solo para un dispositivo de Internet de las cosas: piense en Alexa [or] Google Home: podría tener de 10 a 50 a 60 empresas diferentes que fabrican las diferentes piezas y partes: el firmware, el sistema operativo y el desarrollo de las aplicaciones. Solo tratar de remediar eso para un producto podría ser una tarea increíblemente onerosa.
¿Qué lecciones podemos aprender de esta vulnerabilidad?
Si piensa en SolarWinds, que fue otro problema de la cadena de suministro en esta época el año pasado, mucha gente dijo: “Oh, no usamos el producto, por lo tanto, probablemente estemos bien”. Y lo que aprendió fue que, si se encuentra en un ecosistema que tiene SolarWinds, debe tomar medidas correctivas. Necesita averiguar con sus desarrolladores internos, offshore, near-shore, subcontratados, cómo están haciendo un inventario. Aprendimos por las malas que compilar software y garantizar la calidad de las compilaciones de software es muy complejo y difícil de hacer, y no siempre se sigue hasta los detalles esenciales.
Una gran lección aprendida es que tenemos grietas en la armadura de la cadena de suministro y las seguiremos teniendo. Este no será el último de estos problemas. ¿Cómo puede asegurarse de tener un libro de jugadas en el que, cuando surjan estos problemas, pueda reunir a los jugadores adecuados para obtener una evaluación? ¿bueno?” La segunda cosa en la que la gente debe estar pensando aquí es, ¿qué otras cajas de seguridad ha construido en su lugar? Por ejemplo, si un atacante se aprovecha antes de que llegues a parchear, y se están apoderando de tu registro y de la información en los registros, ¿podrías detectarlo ocultando su tráfico? Esas son todas las lecciones aprendidas y son lecciones difíciles. Quiero decir, si fueran fáciles de hacer, las empresas los harían; los gobiernos los harían. Suena muy bien en papel, pero en la práctica es muy difícil de implementar.
.