El forat de ciberseguretat del segle

Com a traca final d’un any marcat pels ciberatacs, cada vegada més freqüents i greus, la setmana passada va sortir a la llum l’anomenada Log4Shell, una vulnerabilitat que afecta bona part dels sistemes i dispositius connectats a internet i que els ciberdelinqüents poden explotar fàcilment per comprometre’n el funcionament, capturar dades i propagar noves infeccions. L’abast del problema és difícil de determinar, però els especialistes consideren que és dels més greus que s’han vist. I encara pitjor, tot i ser tècnicament senzill de resoldre, es trigarà setmanes, si no mesos o fins i tot anys, a fer-ho.

Log4Shell és la denominació que ha rebut el forat de seguretat causat per una errada de programació en la biblioteca de codi obert Log4j, que es fa servir en tota mena de productes i aplicacions connectats, des d’equipaments de xarxa de Cisco i Broadcom, passant per aparells de domòtica a la llar, els cotxes de Tesla, plataformes al núvol com les d’Amazon AWS, Oracle, Twitter i Apple iCloud, serveis de videojocs com Steam i Minecraft i, sobretot, milions d’aplicacions corporatives d’organismes públics i empreses privades com bancs o companyies d’assegurances.

La majoria de les aplicacions escrites en llenguatge Java contenen el mencionat programari Log4j, que serveix per guardar de manera estàndard el registre dels missatges que les aplicacions generen sobre el comportament del sistema, els seus usuaris i els eventuals missatges d’error d’execució, per tal que els programadors puguin examinar-lo en cas d’incidències o quan vulguin optimitzar el funcionament. Log4j forma part de l’ampli repositori de codi obert de l’Apache Software Foundation (ASF), una activa comunitat distribuïda de programadors que va néixer l’any 1999 per desenvolupar i mantenir el servidor web httpd, un dels més populars de la xarxa, i des d’aleshores ha anat abordant molts altres projectes de programació que creadors d’aplicacions de tot el món incorporen lliurement als seus propis productes. Molts d’aquests mòduls de programari s’ocupen de funcions secundàries de l’aplicació, i eviten que els programadors hagin de dedicar temps i recursos a reinventar coses que algú ja va crear i manté actualitzades. És per això que el codi de Log4j es troba incrustat en una gran quantitat d’aplicacions i serveis que fins ara no s’ha pogut quantificar.

Detectat a finals de novembre

El dia 29 de novembre, un responsable de ciberseguretat del gegant digital xinès Alibaba va informar l’ASF que havia observat que escrivint determinades ordres malicioses al xat entre usuaris del videojoc Minecraft era possible agafar el control de Log4j i fer executar a l’equip una gran varietat de codi remot. Com s’ha vist després, aquesta execució maliciosa pot anar des d’activar xarxes de bots, capturar dades i extreure del servidor infectat o xifrar el contingut a l’estil ransomware per demanar després un rescat, o simplement quedar-se en forma latent al sistema en espera de noves ordres. El dijous 9 de desembre, l’ASF va confirmar públicament l’existència de la vulnerabilitat i la disponibilitat d’una versió corregida del codi de Log4j, i va instar tots els administradors de sistemes a aplicar-la urgentment. Malauradament, ja era massa tard: els ciberdelinqüents també havien detectat el forat i algunes empreses especialitzades asseguren que els dies 1 i 2 ja es van observar els primers atacs a servidors buscant versions de Log4j vulnerables. A aquestes altures s’estima que el 40% de les xarxes del món han rebut aquesta mena de visites malicioses, que ja sumen desenes de milers cada minut. Microsoft assegura que alguns d'aquests intents d'intrusió corresponen a grups generalment vinculats als governs de la Xina l l'Iran.

Simultàniament, els administradors de sistemes informàtics feien hores extres durant el cap de setmana per provar de mitigar l’amenaça. En molts casos es tracta d’aplicar els pedaços de seguretat que els fabricants de productes i serveis afectats han anat publicant a les seves webs i que repositoris de codi com GitHub han anat recopilant. Alguna firma fins i tot ha publicat un pedaç recursiu, que explota la mateixa vulnerabilitat per protegir el sistema fins que se li apliqui una actualització més definitiva. En altres casos s’han establert llistes negres d’adreces IP des d'on se sap que procedeixen alguns atacs, però els ciberdelinqüents són molt àgils i emmascaren aviat la seva ubicació. A més, s’han descobert altres vies per explotar el punt feble de Log4j, com manipular les capçaleres de les peticions que els navegadors dels visitants fan als servidors web per veure cadascuna de les seves pàgines: per exemple, l’anomenada USER AGENT, que indica amb quin navegador web i quin sistema operatiu ens estem connectant. En aquesta capçalera es poden incloure ordres malicioses que agafin el control de Log4j.

El gran problema d’aquesta vulnerabilitat és la seva ubiqüitat. Com hem dit, els programadors de Log4j (tres voluntaris de l’ASF que treballen en les seves estones lliures) han tapat el forat i han distribuït una versió protegida. Igualment, els fabricants de molts productes i serveis afectats han creat pedaços que protegeixen els sistemes en funcionament. Malauradament, es desconeix l’abast de la vulnerabilitat: cada programador incorpora el codi de Log4j en el seu producte com més li convé, i sovint ho fa de manera indirecta sense ser-ne conscient, perquè el mòdul està inclòs en alguna altra de les biblioteques de programari que ha fet servir. En poques paraules, hi ha administradors de sistemes que no saben si la seva instal·lació conté o no una versió vulnerable de Log4j, i és possible que ni tan sols sàpiguen com esbrinar-ho.

Mentre els informàtics que sí que ho saben s’afanyen a posar-hi remei, ja han sorgit al sector almenys dos debats: un, sobre la necessitat que totes les aplicacions estiguin documentades a fons amb un escandall detallat de tots els mòduls de codi que contenen, i un altre, sobre la responsabilitat dels productes comercials que funcionen gràcies a fragments de codi obert creat per voluntaris. Mentrestant, però, ningú gosa posar horitzó temporal a una eventual erradicació de Log4Shell, que probablement continuarà present durant anys en molts racons d’internet com un nou vector d’atac a disposició dels ciberdelinqüents.