ซอฟต์แวร์ Log4j ภายในการแข่งขันเพื่อแก้ไขข้อบกพร่องของซอฟต์แวร์ Log4j ที่อาจเป็นอันตราย
ซอฟต์แวร์ Log4j นิวยอร์ก (บลูมเบิร์ก) เวลา 14.51 น. วันที่ 24 พ.ย. สมาชิกของโครงการซอฟต์แวร์โอเพนซอร์สได้รับอีเมลที่น่าตกใจ เนื้อหาดังกล่าวขู่ว่าจะบ่อนทำลายการเขียนโปรแกรมเป็นเวลาหลายปีโดยอาสาสมัครกลุ่มเล็กๆ และก่อให้เกิดการโจมตีทางไซเบอร์ครั้งใหญ่ทั่วโลก
Chen Zhaojun พนักงานทีมรักษาความปลอดภัยบนคลาวด์ของ Alibaba Group Holding เขียนว่า “ฉันต้องการรายงาน ข้อผิดพลาดด้านความปลอดภัย” และเสริมว่า “ช่องโหว่นี้ ส่งผลกระทบอย่างใหญ่หลวง”
ข้อความดังกล่าวยังอธิบายถึงวิธีที่ แฮ็กเกอร์ สามารถใช้ประโยชน์จาก Log4j ซึ่งเป็นเครื่องมือซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย เพื่อให้บรรลุสิ่งที่เรียกว่า การเรียกใช้โค้ดจากระยะไกล ความฝันของแฮกเกอร์ เพราะพวกเขาสามารถยึดครองคอมพิวเตอร์จากระยะไกลได้
ในที่สุดข้อความดังกล่าวก็ได้ เริ่มต้นการแข่งขันระดับโลก ในการอัปเดตระบบบคอมพิวเตอร์ที่สำคัญ โดยเจ้าหน้าที่ระดับสูงด้านความปลอดภัยในโลกไซเบอร์ของสหรัฐฯ อธิบายว่า การค้นพบนี้เป็น ” ภัยคุกคามที่สำคัญ ” เมื่อไม่ได้รับการแก้ไข ซอฟต์แวร์อาจทำให้ผู้โจมตี เข้าถึงระบบคอมพิวเตอร์นับล้านๆ เครื่องได้โดยอิสระ
แต่เบื้องหลังนั้น กลุ่มโปรแกรมเมอร์ที่ไม่ได้รับค่าจ้างกลุ่มเล็กๆ ได้ไปทำงานเพื่อแก้ไขซอฟต์แวร์ที่ผิดพลาด
Log4j เป็นซอฟต์แวร์ชิ้นหนึ่ง ที่นักพัฒนาสามารถใส่ลงในแอปพลิเคชัน เพื่อตรวจสอบหรือ ” บันทึก ” อะไรก็ได้ตั้งแต่การดำเนินการทางโลก ไปจนถึงการแจ้งเตือนที่สำคัญ บันทึกโดยละเอียดเหล่านี้ สามารถช่วยโปรแกรมเมอร์แก้ปัญหาซอฟต์แวร์ได้
Marcus Hutchins นักวิจัยด้านความปลอดภัยกล่าวว่า Log4j ถูกใช้งานโดยแอพพลิเคชั่นนับล้าน เป็นซอฟต์แวร์โอเพ่นซอร์ส ที่ดูแลโดยกลุ่มโปรแกรมเมอร์อาสาสมัคร ซึ่งเป็นส่วนหนึ่งของ Apache Software Foundation ที่ไม่แสวงหากำไร ซึ่งเป็นหนึ่งในโครงการโอเพนซอร์ซหลายสิบโครงการ ที่กลายเป็นองค์ประกอบสำคัญของการค้าทั่วโลก และส่วนใหญ่เป็นอาสาสมัครที่ไม่ได้รับค่าจ้าง
บทสัมภาษณ์และเอกสารที่ได้รับจาก Bloomberg News เผยให้เห็นความพยายามแบบนาทีต่อนาที ในการแก้ไขข้อบกพร่องของซอฟต์แวร์ ที่อาจเป็นหนึ่งในเหตุการณ์ความปลอดภัยทางไซเบอร์ ที่สร้างความเสียหายมากที่สุดในหน่วยความจำล่าสุด
“ปัญหาด้านความปลอดภัยบางอย่างที่คุณได้รับคือปลาเฮอริ่งแดง” Gary Gregory ผู้ซึ่งทำงานในทีม Apache Software Foundation ที่ดูแล Log4j มาเกือบทศวรรษกล่าว “แต่อันนี้คือ ‘โอ้อึ’ ในกรณีนี้ พวกเราบางคนประหลาดใจ ไม่ใช่ว่ามีปัญหาด้านความปลอดภัย แต่มันแย่แค่ไหน”
มร. Gregory ซึ่งทำงานเต็มเวลาในตำแหน่งวิศวกรซอฟต์แวร์หลักที่ Rocket Software กล่าวว่าเขาทำงานในโครงการโอเพ่นซอร์สฟรี เพราะเขาสนุกกับมัน ” ฉันรักการเขียนซอฟต์แวร์ มันเป็นความหลงใหลของฉัน ”
หลังจากได้รับอีเมลจาก เฉิน โปรแกรมเมอร์อาสาสมัครของ Apache เริ่มทำงาน เพื่อแก้ไขช่องโหว่นี้ ก่อนที่คนอื่นๆ ในโลกจะรู้ว่ามีปัญหาเกิดขึ้น
แต่เมื่อวันที่ 8 ธันวาคม ทีมงานได้รับอีเมลอีกฉบับจากเฉิน แห่งอาลีบาบา โดยแจ้งว่ามีคนเพิ่งเปิดเผยรายละเอียดของช่องโหว่บนแพลตฟอร์มบล็อกของจีน เพื่อให้ชาวอินเทอร์เน็ตทั้งหมดได้เห็น
“กลุ่มแชทด้านความปลอดภัยของ WeChat บางกลุ่ม กำลังพูดถึงรายละเอียดของช่องโหว่นี้แล้ว และนักวิจัยด้านความปลอดภัยบางคนก็มีช่องโหว่อยู่แล้ว” เฉินเขียน “เราสัญญาว่าจะเก็บเป็นความลับ จนกว่าเวอร์ชันที่เผยแพร่อย่างเป็นทางการของคุณจะออกมา”
เฉินไม่ได้ตอบกลับอีเมลเพื่อขอความคิดเห็นทันที บุคคลที่เผยแพร่รายละเอียดของข้อบกพร่อง ซึ่งใช้นามแฝงไม่ตอบสนองต่อคำร้องขอความคิดเห็น
เมื่อถึงตอนนั้น แฮกเกอร์เริ่มใช้ประโยชน์จากข้อบกพร่องดังกล่าวแล้ว ตามทวีตของ แมทธิว พรินซ์ ประธานเจ้าหน้าที่บริหาร CloudFlare 20 ชั่วโมงต่อมา ทีมงานของ Apache ที่ทำงานบน Log4j ได้เผยแพร่ “แพทช์” เพื่อแก้ไขปัญหา นั่นคือตอนที่แฮ็กเกอร์เริ่ม “การแสวงประโยชน์จำนวนมาก” จากข้อบกพร่องดังกล่าว นายปรินซ์กล่าว
ในช่วงเวลาที่โกลาหล ตั้งแต่มีการเปิดเผยข้อบกพร่องต่อสาธารณะ นักวิจัยสรุปว่าช่องโหว่ดังกล่าวมีอยู่ใน Log4j ตั้งแต่เดือนกันยายน 2556 ซึ่งผู้ใช้เอกภพอันกว้างใหญ่ไม่รู้จักช่องโหว่นี้
อย่างไรก็ตาม ผลกระทบของข้อบกพร่อง Log4j ยังไม่ทราบ เนื่องจากซอฟต์แวร์มีอยู่ในผลิตภัณฑ์และบริการมากมาย จึงอาจต้องใช้เวลาหลายเดือนหรือหลายปี ก่อนที่ซอฟต์แวร์ทุกเวอร์ชัน จะได้รับการอัปเดต ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยกล่าว
จนถึงตอนนี้ ยังไม่มีการแฮ็กสำคัญๆ ที่ผูกติดอยู่กับช่องโหว่นี้
นักวิจัยด้านความปลอดภัย พบแอปพลิเคชันโดย Apple, Twitter และบริษัทอื่น ๆ อีกหลาย 10 แห่ง ที่ใช้ Log4j ไม่มีข้อบ่งชี้ใดๆ ที่ได้รับผลกระทบจากการละเมิดความปลอดภัย
การเปิดเผยช่องโหว่นั้น เป็นการส่วนตัวสำหรับอาสาสมัครของ Apache ซึ่งบางคนได้ตีพิมพ์ “ภาระผูกพัน” นับพันหรือการเปลี่ยนแปลงเพื่อปรับปรุงโค้ดในช่วงหลายปีที่ผ่านมา
Mr Christian Grobmeier อดีตผู้พัฒนา Log4j ซึ่งปัจจุบันดำรงตำแหน่งรองประธานที่ Apache Software Foundation รู้สึกแปลกใจในเช้าวันศุกร์ที่ 10 ธันวาคม เมื่อเขาเปิดกล่องข้อความเข้าและเรียนรู้ข่าวครั้งแรกท่ามกลางข้อความจำนวนมากจากอาสาสมัคร Log4j
“ฉันกำลังคิดว่า โอ้ พระเจ้า นี่คือโครงการของฉัน แล้วฉันก็คิดว่า Apple มีส่วนเกี่ยวข้อง Twitter ได้รับผลกระทบ ทุกอย่าง” เขากล่าว “แล้วฉันก็เพิ่งรู้ว่ามีคนใช้ซอฟต์แวร์นี้กี่คน โดยพื้นฐานแล้วนี่คือครึ่งหนึ่งของโลก และอาจมากกว่านั้น นี่มันบ้าไปแล้ว”
เขาอธิบายการสนทนาในกลุ่ม Log4j ว่าไม่เอาใจใส่และจริงจัง “ผมรู้จักคนเหล่านี้ พวกเขาล้วนมีครอบครัวและสิ่งที่พวกเขาต้องทำ แต่พวกเขาวางทุกอย่างไว้ข้าง ๆ และนั่งลงตลอดทั้งสัปดาห์และทำงานนั้น” เขากล่าว
ช่องโหว่ที่ค้นพบใน Log4j เน้นว่าซอฟต์แวร์สมัยใหม่อาศัยโครงการโอเพนซอร์ซที่ดูแลโดยอาสาสมัคร ที่ไม่ได้รับค่าตอบแทนเพียงใด และจะเกิดอะไรขึ้นเมื่อพบจุดอ่อนด้านความปลอดภัยที่สำคัญภายในจุดเดียว
“สถานการณ์ไม่มีที่สิ้นสุด” นายมาร์ค เคอร์ฟีย์ ผู้ก่อตั้ง Open Web Application Security Project ซึ่งเป็นองค์กรไม่แสวงผลกำไรที่เน้นที่โครงการรักษาความปลอดภัยทางไซเบอร์แบบโอเพนซอร์ส และผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Open Raven บริษัทสตาร์ทอัพด้านความปลอดภัยทางไซเบอร์กล่าว
“รหัสที่ใช้ซ้ำได้หมายถึงช่องโหว่ที่สามารถนำมาใช้ซ้ำได้ และห่วงโซ่อุปทานของซอฟต์แวร์จะป้อนผู้บริโภคเทคโนโลยีของโลก มีพายุที่สมบูรณ์แบบ”
นาย Lou Steinberg ผู้ก่อตั้งและหุ้นส่วนผู้จัดการของ CTM Insights และอดีตประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ TD Ameritrade กล่าวว่า มีแนวโน้มว่าเซิร์ฟเวอร์หลายล้านเครื่องมีความเสี่ยง “เราอยู่ในการแข่งขันกับผู้โจมตี เพื่อแก้ไขก่อนที่พวกเขาจะใช้ประโยชน์ได้”
เนื่องจากมีการเปิดเผยข้อบกพร่อง จึงมีความโกรธเกิดขึ้นที่นักพัฒนาของ Apache และมีสัญญาณเตือนว่า Log4j อาจมีช่องโหว่ รวมถึงในการนำเสนอในการประชุมความปลอดภัยทางไซเบอร์ของ Black Hat ในปี 2559 ที่นั่น นักวิจัยระบุวิธีการใช้ประโยชน์จากซอฟต์แวร์หลายประเภทซึ่งรวมถึง Log4j ตามที่นาย Daniel Stenberg กล่าว ผู้สร้างซอฟต์แวร์โอเพ่นซอร์ส ที่ใช้มากที่สุดในโลกชื่อ Curl ซึ่งใช้สำหรับถ่ายโอนข้อมูลระหว่างแอปพลิเคชัน
“ทำไมมันไม่ได้รับการแก้ไขในตอนนั้น ฉันไม่รู้จริงๆ” นายสเตนเบิร์กกล่าว “ดูเหมือนว่าผู้เขียน Logj4 จะไม่เข้าใจจริงๆ ว่าพวกเขามีจุดชนวนระเบิดในโค้ดของพวกเขา แม้ว่าจะไฮไลต์เสร็จแล้วก็ตาม เห็นได้ชัดว่าโปรเจ็กต์ Log4j ต้องการคนนอกมาแหย่พวกเขาในสายตาและทำให้พวกเขาตระหนักถึงปัญหาจริงๆ ได้อย่างไร คุณบังคับให้เกิดขึ้นหรือไม่ ไม่ง่าย”
เรียบเรียง BOMEBAMB