IT

Stotine miliona uređaja dostupno hakerima zbog jednog propusta: Ovo je nešto najozbiljnije što sam vidjela u karijeri

Privatnost je nešto što je u doba interneta i društvenih mreža danas posebno na cijeni. Stoga zabrinjavajuće zvuče vijesti o slaboj zaštićenost naših osobnih podataka, a upravo nam jedna takva stiže iz Sjedinjenih Američkih Država.

Naime, stotine miliona uređaja širom svijeta moglo bi biti izloženo novootkrivenoj softverskoj ranjivosti, prenosi CNN.

Tom je prilikom visoka dužnosnica Bidenove administracije upozorila vodeće ljude velikih američkih tehnoloških industrija da moraju poduzeti mjere kako bi riješili "jedan od najozbiljnijih" nedostataka koje je vidjela u svojoj karijeri. Također ih je upozorila da hakeri aktivno iskorištavaju ranjivost.

"Ova ranjivost je jedna od najozbiljnijih koje sam vidjela u cijeloj svojoj karijeri, ako ne i najozbiljnija", rekla je Jen Easterly, direktorica američke Agencije za kibernetičku i infrastrukturnu sigurnost (CISA) .

"Očekujemo da će ranjivost biti široko iskorištena od strane sofisticiranih hakera i imamo ograničeno vrijeme za poduzimanje potrebnih koraka kako bismo smanjili vjerojatnost štetnih incidenata", rekla je Easterly.

To je dosad najoštrije upozorenje američkih dužnosnika o grešci u softveru otkako su krajem prošle sedmice izašle vijesti da ga hakeri koriste kako bi pokušali provaliti u računalne mreže velikih organizacija.

Stručnjaci su za CNN rekli da bi mogle proći sedmice dok se otklone sve ranjivosti.

Ranjivost je u softveru baziranom na Javi poznatom kao "Log4j" koji velike organizacije, uključujući neke od najvećih svjetskih tehnoloških firmi, koriste za bilježenje informacija u svojim aplikacijama. Tehnološki divovi kao što su Amazon Web Services i IBM krenuli su u rješavanje greške u svojim proizvodima.

Ovaj propust nudi hakeru relativno jednostavan način pristupa računalnom poslužitelju organizacije. Odatle bi napadač mogao smisliti razne načine pristupa sustavima na mreži organizacije. Zaklada Apache Software Foundation, koja upravlja softverom Log4j, objavila je sigurnosnu ispravku koju organizacije mogu primijeniti.

No, napadači su imali više od sedam dana prednosti u iskorištavanju softverske greške prije nego što je ona bila javno otkrivena. Organizacije su sada u utrci s vremenom kako bi otkrile imaju li računala na kojima se pokreće ranjivi softver koji je bio izložen internetu. Rukovodioci kibernetičke sigurnosti u vladi i industriji rade danonoćno na tom pitanju.

"Morat ćemo uložiti dodatne napore da razumijemo rizik od ovog koda u cijeloj infrastrukturi SAD-a", rekao je Jay Gazlay, drugi dužnosnik CISA-e.

"Hakeri povezani s kineskom vladom već su počeli koristiti ranjivost", smatra Charles Carmakal, viši potpredsjednik i glavni tehnološki direktor firme Mandiant za kibernetičku sigurnost. Mandiant je odbio elaborirati na koje organizacije hakeri ciljaju.

Kako bi riješila taj problem, CISA je rekla da će postaviti javnu web stranicu s informacijama o tome na koji su softverski proizvodi zahvaćena ranjivost i tehnikama koje su hakeri koristili da je iskoriste.

"Ovo će biti višetjedni proces u kojem novi akteri iskorištavaju ranjivost", rekao je Eric Goldstein, izvršni pomoćnik direktora CISA-e za kibernetičku sigurnost.