چگونه یک شورای دولتی ایالات متحده به جامعه منبع باز کمک کرد تا Log4j را اصلاح کند



لاس وگاس – شش ماه پیش، دولت فدرال یک دفتر جدید ایجاد کرد و اولین وظیفه سختی را به آن واگذار کرد: گزارش در مورد پاسخ خصوصی-عمومی به آسیب‌پذیری Log4j که بخش‌های وسیعی از اینترنت را در برابر هک از راه دور آسیب‌پذیر کرد.

در یک میزگرد چهارشنبه در کنفرانس امنیت اطلاعات کلاه سیاه، رئیس و نایب رئیس هیئت مدیره درس های کلیدی آموخته شده از این تلاش را به اشتراک گذاشتند که از تمایل نمایندگان صنعت برای گفتگو با سازمان دولتی شروع شد.

رابرت سیلورز، رئیس هیئت بازبینی امنیت سایبری (و معاون وزیر سیاست DHS) به مدیر پانل و بنیانگذار کلاه سیاه، جف ماس، گفت: «فکر می‌کنم بسیاری از مردم از اینکه حقیقت‌یابی چقدر عمیق می‌تواند انجام شود شگفت‌زده شده‌اند. ما در واقع یک خلاصه واقعی از چگونگی فرآیند افشای آسیب‌پذیری Log4J، پاسخ، و همه چیز درست کردیم.»

رئیس مشترک هیتر ادکینز، معاون امنیت در گوگل، این احساس را تکرار کرد و خود را «بسیار شگفت‌زده» خواند که بیش از 80 سازمان امنیتی و محقق با هیئت مدیره برای گزارش 52 صفحه‌ای (PDF) ارائه شده بودند. در ماه جولای. . ما حتی از جمهوری خلق چین نیز شنیده ایم.

آژانس امنیت سایبری و امنیت زیرساخت (CISA) در ماه فوریه بر اساس دستورالعملی در فرمان اجرایی امنیت اطلاعات رئیس جمهور بایدن در ماه مه 2021، یک هیئت 15 نفره تشکیل داد. این تقریباً از هیئت ملی ایمنی حمل و نقل الگوبرداری شده است، با هدف شفافیت در منطقه ای که در آن اهداف حملات اغلب در مورد اشتباهات ساکت هستند.

سیلورز گفت: “تا زمانی که CSRB ایجاد شد، واقعاً کسی نبود که کارش گردآوری 80 شرکت مختلف و محقق امنیتی باشد.”

حتما بخوانید:
قدیمی ها برای زنده ماندن در آخرین حداکثر یخبندان به محیط ساحلی اعتماد می کردند - ScienceDaily

او و ادکینز سازمان‌هایی مانند غول تجارت الکترونیک چینی علی‌بابا و بنیاد نرم‌افزار منبع باز Apache را به دلیل عجله برای رفع آسیب‌پذیری در Log4j تحسین کردند (مردم به این «موج» Log4Shell یا CVE-2021-44228 نیز می‌گویند). میلیون‌ها سایت از این کتابخانه منبع باز جاوا که توسط آپاچی توسعه یافته برای ثبت فعالیت خود استفاده می‌کنند، اما یک باگ کشف نشده به مهاجمان اجازه می‌دهد تا از آن برای اجرای کد دلخواه بر روی آن سرورها از راه دور استفاده کنند.

اما این واقعیت که بسیاری از سازمان‌ها برای تعمیر وصله‌ها عجله کردند و سایت‌ها برای نصب آن‌ها عجله کردند – “این ممکن است بزرگترین پاسخ سایبری انبوه در تاریخ باشد” سیلورز می‌گوید – پیچیدگی‌های جدیدی ایجاد کرد.

«تکرارهای متعددی از پچ وجود داشت. ما قطعا متوجه شدیم که باعث خستگی وصله شده است.» CISA با میزبانی مخزن بسته های آسیب پذیر Log4j در GitHub تلاش کرده است تا این خستگی را کاهش دهد.

ادکینز به نوبه خود اظهار داشت که اجرای “باز” ​​این اصلاحات به ناچار برخی از مهاجمان را به دانستن این آسیب پذیری سوق داد: “ما در حال مشاهده پیام هایی در وی چت در چین هستیم که در مورد نامزد انتشاری صحبت می کند که این اصلاح را دارد.”

افشای عمومی این آسیب پذیری توسط علی بابا بدون اطلاع دولت چین نیز منجر به مجازات پکن این شرکت شده است.

و در حالی که سوء استفاده های اولیه ممکن است شامل راه رفتن هکرها و به دنبال آن نصب از راه دور نرم افزار استخراج ارزهای دیجیتال، فروش کیت های بهره برداری و استفاده بعدی از آنها توسط مهاجمان دولت-ملت باشد.

حتما بخوانید:
خرید جدیدترین مدل کفش مردانه چرم، رسمی و اسپرت

“چگونه یک اکوسیستم نرم افزاری بسازیم که در آن همه چیز به سرعت اتفاق بیفتد؟” او پرسید. “چگونه دانستن یک اشتباه را کمی بی ربط می کنید؟”

بقیه بحث بر این بود که چگونه هیئت مدیره و صنعت به طور کلی می توانند این کار را انجام دهند. ادکینز اقداماتی را برای کمک به بنیادهای منبع باز برای آموزش توسعه دهندگان و کد ممیزی تایید کرد که می تواند تلاش های گروه پشت این پروژه ها را موثرتر کند.

همانطور که او گفت، “ما به نوعی بر روی یک بهمن بسیار خوب از حمایت در میان جامعه سوار هستیم.”

سیلورز گفت که دولت باید از فروشندگان نرم افزار بخواهد که شفاف باشند، از جمله ارائه یک صورتحساب نرم افزاری مواد (SBOM، تلفظ شده “s-bomb”) برای نتایج. او گفت: “هیئت مدیره کاملاً به مفهوم SBOM اعتقاد دارد، اما باید توسعه یابد. شما باید بدانید که چه چیزی و کجا دارید.”

hacklink al hd film izle php shell indir siber güvenlik türkçe anime izle Fethiye Escort android rat duşakabin fiyatları fud crypter hack forum instagram beğeni bayan escort - vip elit escort lyft accident lawyer html nullednulled themesMobil Ödeme BozdurmaMobil Ödeme BozdurmaLevitraMobil Ödeme BozdurmaMobil Ödeme BozdurmaVodafone Mobil Ödeme Bozdurma