Dies ist ein automatisch aus dem Italienischen übersetzter Text. Wenn Sie unsere Arbeit schätzen und sie gerne in Ihrer Sprache lesen, denken Sie über eine Spende nach, damit wir sie weiterhin durchführen und verbessern können.
Die Artikel von Cassandra-Kreuzung Ich bin unter Lizenz CC BY-SA 4.0 | Cassandra-Kreuzung ist eine Spalte, die von erstellt wurde Marco Calamari mit dem „nom de plume“ von Kassandra, geboren 2005.
Doppelter besonderer Termin mit Cassandra diese Woche dank Log4j. Bei Interesse finden Sie den ersten Teil dieses Artikels Hier.
Dieser Artikel wurde geschrieben am 16. Dezember 2021 von Cassandra
Cassandra Crossing/ Log4j – dieses Mal lief es gut
Der Käfer des Jahrhunderts hätte zerstörerisch genutzt werden können, und das ist nicht geschehen; Was passiert jetzt?
Wie die 24 ansteckenden Leser von Cassandra wissen, stand das Thema der nächsten Katastrophe im Internet auf diesen Seiten immer im Vordergrund, insbesondere wenn darauf verlinkt wurde Softwarekomplexität.
Das aktuell heiße Thema ist sicherlich der Fehler in der Log4j-Bibliothek; Wie so oft bei stark diskutierten Themen hindert uns dies daran, die Hauptthemen ins rechte Licht zu rücken, die durch die Analyse von Details oder sogar durch Geschwätz erstickt werden.
Der übersehene und zusammengefasste Aspekt der Log4j-„Affäre“ lässt sich leicht sagen; „Diesmal lief es für uns wirklich gut.“
Systemingenieure auf der ganzen Welt, einschließlich derer bei NASA, SpaceX und den verschiedenen nationalen Weltraumagenturen, die seit Tagen unter Bedingungen des völligen Notfalls arbeiten, sind möglicherweise anderer Meinung. Vielleicht könnten sie aufgrund von Stress auch sehr schlecht auf eine solche Aussage reagieren.
Wir versuchen daher, es nicht nur aufzudecken, sondern auch zu motivieren, und um dies zu tun, müssen wir wie üblich die Sache aus historischer Sicht einordnen und das Band zurückspulen; Diesmal auf ein ebenso präzises wie fernes Datum, nämlich den 25. Januar 2003.
An diesem Tag ereignete sich der zweitschwerste Internetunfall weltweit (nach Morris Worms vom 2. November 1988, der das neugeborene Internet zwei Tage lang zerstörte).
An diesem Samstag SQLSlammer, ein eigenständiger Wurm, der sich in sehr kurzer Zeit selbst reproduzieren konnte, auch weil er ausschließlich im RAM lief, 75.000 Server in weniger als 10 Minuten infizierte und die sichtbarste und längste globale Verlangsamung des Internets verursachte.
Die Verlangsamung wurde nicht durch böswillige Aktionen des Wurms verursacht, der wie der Morris-Wurm nicht bösartig war, da er sich lediglich auf die Selbstreplikation beschränkte, sondern lediglich durch den Spitzenwert des von den betroffenen Servern erzeugten Datenverkehrs, der eine Krise verursachte , und in einigen Fällen führte es auch zum Zusammenbruch der wichtigsten Router des Internets.
SQLSlammer nutzte unter anderem eine bekannte Schwachstelle im Microsoft SQL-Server aus, die Microsoft seit dem 24. Juli 2002 bekannt war, und hatte recht zeitnah einen wenig beachteten und veröffentlichten Software-Patch veröffentlicht, der also gut ein halbes Jahr zuvor verfügbar war das Ereignis, und das zu diesem Zeitpunkt nur sehr wenige Systemadministratoren berücksichtigt und installiert hatten.
Im Fall von SQLSlammer hatte die sofortige Verfügbarkeit der Lösung den positiven Effekt, dass eine relativ schnelle Rückkehr zur Normalität möglich war; Die Installation des Patches und ein Neustart, wodurch SQLSlammer aus dem RAM entfernt wurde, reichten aus.
Vielleicht war dieser scheinbar positive Sachverhalt, um es ins rechte Licht zu rücken, in Wirklichkeit negativ, weil er zu einer Unterschätzung des Geschehens bzw. zu dessen schnellem Vergessen führte.
Heute haben zwanzig Jahre Malware-Entwicklung Software hervorgebracht, die in der Lage ist, Fehler modular, effizient, flexibel und bei Bedarf völlig automatisch auszunutzen. ein Beispiel für alle dort Mirai-Botnetz.
Nehmen wir nun den Log4j-Fehler an, an den wir uns erinnern:
- es ist plattformübergreifend;
- betrifft möglicherweise jede Plattform und jedes Betriebssystem, das Apache und/oder Java verwendet;
- hatte keinen Patch verfügbar:
- ermöglicht das Einschleusen und Ausführen beliebiger Software auf dem betroffenen Computer über das Internet
wurde von einem Botnetz ausgenutzt, das von einem der Akteure der Malware-/Cyberwarware-Szene strategisch programmiert wurde.
Es wäre leicht möglich gewesen, mit dem Absturz oder, noch schlimmer, mit der Kompromittierung und vollständigen Kontrolle der meisten im Internet exponierten Server umzugehen, was eine Abschaltung, eine vollständige Neuinstallation und die Anwendung von Patches für jeden einzelnen Server erforderlich gemacht hätte. Ich wiederhole für diejenigen, die den im Vergleich zu den anderen Fällen erforderlichen enormen Aufwand nicht erkannt haben: Installieren und patchen Sie jeden einzelnen Server, der im Internet verfügbar ist, neu, egal ob physisch, virtuell oder per Docker.
Ein Albtraum im Vergleich dazu, dass die Wiederherstellung von SQLServer oder sogar dem Morris-Wurm wie eine einfache vorübergehende Unannehmlichkeit erscheint.
Cassandra mag es, die Dinge kurz zu halten, und es besteht keine Notwendigkeit, Konzepte zu wiederholen, indem sie Schlagworte und Superlative aneinanderreiht, um die Erzählung zu verlängern.
Wo liegt am Ende des Tages heute das Problem?
Fragen wir uns, wie viel die „Internet-Entscheider“ in den letzten zwanzig Jahren gelernt haben; die Systemingenieure, ihre Manager, die nach Budgets für IT-Sicherheit und Notfallwiederherstellung fragen müssen, und ihre Vorstände, die beschließen sollten, Berge von Geld zu investieren, um den nächsten „Schwarzen Schwan“ des Internets abzumildern, wie ihn Log4j hätte verursachen können .
Die Ursachen für die systematische Unterschätzung der IT-Sicherheit durch Unternehmen sind nach wie vor vorhanden; Allzu oft ist die Reaktion auf Vorfälle eine größere Investition in Versicherungspolicen und Öffentlichkeitsarbeit als in IT und Betriebssicherheit.
Und vergessen wir nicht, dass eine neue Klasse „nationaler“ Akteure und krimineller Organisationen Cyberwaffen in kleinen und großen Arsenalen ansammelt, die bereit sind, als Waffen in traditionellen Kriegen oder Terroranschlägen eingesetzt zu werden.
Wenn nicht strömendes Geld ausgegeben wird Wirklich In Verbesserungen der IT- und Betriebssicherheit durch Techniker und Systemingenieure investiert und nicht von Beamten und Managern auf andere Ziele umgelenkt wird, bedeutet dies, dass sich nichts geändert hat und dass das nächste Botnetz, der nächste Angriff eines böswilligen Akteurs oder die erste Tat Der erste Cyberkrieg könnte darin bestehen, das Internet und seine Ressourcen über einen längeren Zeitraum, gegebenenfalls auch selektiv, lahmzulegen.
Unverbunden, dunkel und trocken.
Ist das Szenario, das Ihre Lieblingsprophetin in diesen wenigen Zeilen beschreibt, beängstigend genug?
Hat es Sie erschreckt oder zumindest ernsthaft beunruhigt?
Hoffen wir es mal; In diesem Fall wird es Cassandra gelungen sein, ihre Arbeit zu erledigen.
Marco Calamari
Videokolumne „Ein Gespräch mit Cassandra“
Cassandras Slog (Statischer Blog).
Cassandras Archiv: Schule, Ausbildung und Denken
Treten Sie Communities bei
Wenn Sie Fehler im Artikel gefunden haben, können Sie diese per Klick melden Hier, Danke schön!