Gary Gregory, un voluntario de Apache Software Foundation, está pasando tiempo libre de su trabajo diario pegado a su computadora, esforzándose por ayudar a contener el daño de una falla de seguridad en la herramienta Log4j que sustenta gran parte de la economía digital.
La divulgación del error la semana pasada desencadenó una carrera global entre empresas y funcionarios gubernamentales para fortalecer un punto débil en el software oscuro pero crucial que los expertos en ciberseguridad advierten que está abriendo la puerta a ataques de ransomware y otras campañas de piratería.
Para el esfuerzo son cruciales el Sr. Gregory y otros cuatro voluntarios de Apache, todos los cuales tienen trabajos diurnos. En los últimos días, se han apresurado a publicar actualizaciones de Log4j y trabajar con las empresas para mitigar la amenaza que se avecina.
Apache, una organización sin fines de lucro que distribuye la herramienta de código abierto sin costo, ha dicho que se ha descargado millones de veces. Log4j se utiliza en servidores informáticos para mantener registros de las actividades de los usuarios y los comportamientos de las aplicaciones para que puedan ser revisados más tarde por los equipos de seguridad o de desarrollo de software. La vulnerabilidad podría permitir a los piratas informáticos ejecutar de forma remota código que se apodere de los dispositivos o los infecte con malware.
Gregory, quien trabaja desde la mesa del comedor en su casa de Ocala, Florida, alimentado por café negro y acompañado por su mezcla de sabueso, pitbull y toro, Bella, dijo que está abrumado con cientos de solicitudes de ayuda de empresas. . Si bien Apache está tratando de ayudar a las empresas a actualizar sus sistemas, dijo, los recursos de la organización sin fines de lucro son limitados.
“Esto pone a la vanguardia todo el problema con el código abierto [software] y usuarios comerciales ”, dijo el Sr. Gregory, que está en el Comité de Gestión de Proyectos de Apache Logging Services de 16 miembros electos que votan sobre los cambios en el software. “Las expectativas están algo fuera de lugar”.
Gregory, cuyo trabajo diario es el ingeniero principal de software en Rocket Software Inc., con sede en Massachusetts, estaba ayudando a finalizar una actualización de seguridad para Log4j la semana pasada cuando un correo electrónico arruinó sus planes.
Un informante había alertado a los voluntarios de Apache sobre la falla de seguridad a fines de noviembre, lo que los llevó a trabajar en un parche. El jueves pasado, un día antes de que Apache lanzara el parche, el mismo informante dijo en un correo electrónico que los usuarios en los foros de chat chinos ya estaban discutiendo la vulnerabilidad.
“Nos dimos cuenta muy rápidamente de que esto era dramático y peligroso”, dijo Gregory. O para decirlo de otra manera, agregó: “Mierda, esto es malo”.
Muchos desarrolladores confían en el marco Log4j gratuito para ayudar a registrar datos como el comportamiento de los usuarios y la actividad de las aplicaciones en software creado con el lenguaje de programación Java. Los expertos en ciberseguridad dicen que la inclusión de la herramienta de registro de código abierto dentro de tanto software interconectado, a menudo integrado sin el conocimiento de los desarrolladores, genera una amenaza que se extiende por sectores económicos y fronteras nacionales.
Teresa Payton
Foto:
ANDY DAVIS PARA EL REVISTA DE WALL STREET
“Este es un problema en todas partes”, dijo Theresa Payton, ex directora de información de la Casa Blanca y directora ejecutiva de la firma de consultoría cibernética Fortalice Solutions LLC.
En Alemania, el equipo de seguridad de la empresa química Evonik Industries AG
se apresuró a identificar Log4j en su red y deshabilitó una aplicación de aprendizaje en línea para empleados como medida de precaución. Proveedor de piezas industriales con sede en Milwaukee, Wisconsin Rockwell Automation C ª.
se apresuraron a comunicarse con los proveedores sobre su propia exposición a la falla. Empresas de tecnología estadounidenses como International Business Machines Corp.
y VMware C ª.
dijo que están implementando parches.
Una asociación lanzada recientemente por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., Proveedores de servicios en la nube como Amazon.com C ª.
y empresas de telecomunicaciones, incluida Verizon Communications C ª.
ha realizado llamadas diarias para compartir información sobre posibles amenazas, según una persona familiarizada con el tema. Funcionarios de CISA dijeron en una llamada separada con operadores de infraestructura crítica el lunes que cientos de millones de dispositivos podrían estar en riesgo.
A medida que las empresas actualizan sus sistemas y sondean a los proveedores en busca de vulnerabilidades, la empresa de ciberseguridad Mandiant C ª.
dijo que ha observado a los piratas informáticos del gobierno chino tratando de explotar la falla.
Matthew Prince, director ejecutivo de Cloudflare Inc., que tiene una amplia visibilidad de la infraestructura de computación en la nube, advirtió sobre intentos de piratería cada vez más peligrosos.
“Las cargas útiles de ransomware comenzaron a funcionar en [the] las últimas 24 horas ”, escribió Prince en Twitter el martes. Los expertos en ciberseguridad no han vinculado un ataque de ransomware exitoso específico a la vulnerabilidad Log4j.
Después de que Apache lanzó su parche planeado el viernes, Gregory dijo que trabajó durante el fin de semana en una nueva actualización junto con otros desarrolladores de software voluntarios en Japón, Nueva Zelanda, Virginia y Arizona. Presentada el lunes, la nueva versión deshabilitó un módulo de software problemático de forma predeterminada y eliminó una función de búsqueda de mensajes que podría usarse para explotar la falla.
Los voluntarios de Apache están diseñando otra actualización de Log4j para los usuarios que dependen de una versión anterior del lenguaje de programación Java, lo que significa más trabajo para Gregory mientras está de vacaciones en su trabajo diario.
“Eso se traduce en que anoche dormí cinco horas”, dijo sobre su tiempo libre. “Algunos de los otros muchachos obtuvieron dos o tres”.
Escribir a David Uberti en [email protected]
Copyright © 2021 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
.