Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Giga korporacja bierze na spytki twórcę curla (bo z niego korzysta :P). Odpowiedz nam w 24h!
Nietypową wiadomość od pewnej korporacji otrzymał Daniel Stenberg, twórca m.in. narzędzia curl, czyli klienta HTTP działającego w terminalu. Firma o dochodach 500 miliardów dolarów „poprosiła” go o odpowiedź na osiem pytań dotyczących możliwego wpływu podatności Log4j na jeden z jego programów na licencji open source, który jest używany w tej korporacji.
Już w pierwszym akapicie pojawiła się prośba o udzielenie odpowiedzi w ciągu 24 godzin. Dalej nadawca poinformował o konieczności poznania ryzyka związanego z Log4j i zaznaczył, że firma bezpieczeństwo traktuje priorytetowo. Pytania były następujące:
- Czy odbiorca wiadomości używa Log4j w swoich aplikacjach, a jeśli tak, to w których?
- Czy w przeszłości w jego firmie miały miejsce potwierdzone incydenty?
- Jeśli tak, co konkretnie zostało naruszone w ramach tych incydentów?
- Czy produkty i usługi firmy NNNN zostały narażone?
- Czy jawne i poufne informacje tej firmy zostały ujawnione?
- Jeśli tak, to należy udzielić szczegółów.
- Jaki jest plan remediacji dla firmy NNNN?
- Jakie zadania są konieczne do realizacji remediacji?
Programista w odpowiedzi poinformował, że niezwłocznie udzieli wyjaśnień na te zapytania, jeśli tylko zostanie zawarta odpowiednia umowa dotycząca wsparcia. Firma odpowiedziała krótko, przy okazji myląc imię twórcy (Daniel -> David):
Are you saying that we are not a customer of your organization?
Riposta programisty była zdecydowanie bardziej rzeczowa i całkiem profesjonalna. Zwrócił on uwagę, że nie jest w żaden sposób związany z tą firmą, jak również zauważył brak wzmianki na temat programu jego autorstwa, którego używają nadawcy wiadomości. Pracownik powinien samodzielnie znaleźć odpowiedzi na przedstawione pytania.
Działania firmy NNNN w żadnym stopniu nie można określić pozytywnie. Używa ona za darmo oprogramowania open source, za które twórca nie otrzymuje wynagrodzenia. Mimo to daje ona 24 godziny na odpowiedzi, które w praktyce można uzyskać samodzielnie (kod źródłowy jest otwarty). Należy mieć na uwadze fakt, że o ile oprogramowanie open source jest darmowe, to profesjonalne wsparcie techniczne może wiązać się z opłatami (tak jest m.in. w przypadku niektórych systemów Linux). Nie stanowi to szczególnego problemu, ponieważ z łatwością można znaleźć rozwiązania i wyjaśnienia większości błędów na różnych popularnych serwisach typu: stackoverflow.com, serverfault.com, askubuntu.com czy digitalocean.com/community/questions.
–Michał Giza
Daj palec to będą chcieli ręke…
Popieram w 100% Sternberga. Sami w firmie korzystamy z oprogramowania i bibliotek open source, ale do głowy by nam nie przyszło żądać czegoś od autorów tego oprogramowania. Wręcz przeciwnie, jeśli tylko mogę coś sam poprawić w bibliotece pisząc coś do firmy, to po zrobieniu i przetestowaniu poprawki zawsze leci pull request z dokładnym opisem co poprawia i dlaczego.
Tak czy inaczej tu pytanie tej firmy było o coś innego. Nie chodziło chyba, czy dane oprogramowanie autora korzysta z log4j, tylko czy autor korzysta z podatnego na atak oprogramowania – to potencjalnie pozwalałoby atakującemu przejąć maszynę autora i zmodyfikować kod źródłowy jego aplikacji, narażając na ataki tych, którzy korzystają z tego oprogramowania. Oczywiście żądanie tej informacji od autora w taki sposób nadal było nie na miejscu.
trochę racji masz aczkolwiek w przypadku oprogramowania open source, gdzie każdy może zobaczyć i zmodyfikować kod hackowanie autora w celu zmiany tego kodu jest dla mnie trochę bez sensu.
no troche nie do konca masz racje ;) jasne mozesz sobie zmodyfikowac kod itp ale bez pull requesta i akcepta nie zmodyfikujesz go na oficjalnym „kanale”, z ktorego cala masa ludzi/przedsiebiorstw korzysta :) wiec jedyne co Ci pozostaje to próba utworzenia podobnego/”udajacego” oryginal gita i liczyc na to ze ktos przez pomylke bedzie z niego korzystal :)…
atakujac kompa tworcy byli by w stanie zmodyfikowac kod u zrodla na zlosliwy bez niczyjej weryfikacji (jesli tworca repo ma uprawnienia pushowania bez pull requestow lub jest jedynym akceptujacym PR)
kojarzycie reakcję naczelnego jak Peter Parker chciał zaliczki?
Tak, a mi od razu przyszło do głowy:
„I missed the part where that’s my problem”
Nie jest wcale tak łatwo znaleźć odpowiedzi na stackoverflow.com gdy korporacyjne IT security blokuje do niego dostęp. :)
+1
Zalatuje mi to śmierdzącą nadgorliwością smRODO i szukania dziury gdzie się da.
Mają tupet! Nawet nie napisali, O KTÓRY PROGRAM pytają, ale żądają odpowiedzi (w ciągu 24 h) m.in. na pytania
„2. Have there been any confirmed security incidents to your company?
3. If yes, what applications, products, services, and associated versions are impacted?”
Mogli jeszcze zapytać o historie chorób personelu.
Meh, mógł ich te 24 godziny przynajmniej przetrzymać w tej błogiej niepewności.
Prawnicy wzięli się za IT 🙂
Żeby IT nie wzięło się za prawników, bo będą mieli puste notatniki zamiast akt sprawy :D
Chamstwo ze strony korpo i tyle w temacie…
Trzeba docenić że jeszcze ktoś wierzy w o co mówią twórcy to napawa optymizmem na przyszłość.
Jeżeli pominąć przeoczenie, że wśród adresatów prawdopodobnie masowo wysyłanej korespondencji jest niezwiązany żadną umową podmiot, i spóźnienie samego zapytania, to działania firmy NNNN są nie tylko pozytywne, ale godne naśladowania. Oznacza to, że prowadzi ona SBOM oraz do jakiegoś stopnia aktywną weryfikację łańcucha dostaw. Na wiadomość Stenberga odpowiedziała też czytająca ze zrozumieniem osoba, a nie organiczny bot zamykający tickety.
n.b., firma nie ma dochodu 500 miliardów dolarów — to byłoby więcej niż Alphabet i Meta razem wzięci. Autorzy wiadomości należą do Fortune 500, czyli pięciuset największych przedsiębiorstw w USA. Czyli mówimy o organizacji o skali czegoś pomiędzy Orlenem a PNGiE.
Z jednej strony niefajnie ale z drugiej spójrzmy w szerszej perspektywie na tą wiadomość i okoliczności. Z Log4j zrobił się straszliwy fuckup, cały swiat usłyszał o tym, nawet dzieci grające w Minecrafta zostały zaimpaktowane. Firmy spanikowały, zaczęło się szukanie dziur wszędzie.Podejrzewam że ten mail (a raczej ten generyczny template) został wysłany przez szeregowego pracownika do WSZYSTKICH dostawców/autorów KAŻDEGO software’u/biblioteki jakie znaleźli u siebie.
„fortune-500 multi-billion” to nie jest „Firma o dochodach 500 miliardów dolarów”…
Moim zdaniem akurat głupio wyszło, kiedy zadziałały generyczne procedury wielkiej organizacji.
1. Zażądaj od IT listy wszystkich aplikacji od których zależą Twoje operacje wraz z kontaktem do autorów.
2. Wyślij wszystkim takiego samego maila (no bo skoro korzystamy z ich oprogramowania, to jesteśmy ich klientem).
> Firma o dochodach 500 miliardów dolarów „poprosiła” go
Fortune 500 nie znaczy, że firma ma 500 miliardów dolarów dochodu, tylko że znajduje się na liście top 500 firm w USA :)
EN: a fortune-500 multi-billion dollar company
PL: Firma o dochodach 500 miliardów dolarów
Pochodna trolli patentowych. W perspektywie – oskarżyć programistę open source o straty w wyniku błędów w oprogramowaniu, a następnie nagłośnić sprawę żeby inni przestali się udzielać i porzucili projekty. Przejąć projekty za bezcen, opatentować i wykorzystać komercyjnie. Profit.
Fortune 500 multi bilion company to nie jest firma z dochodem 500 miliardów tylko firma z listy 500 najbogatszych magazynu fortune. Tak gwoli ścisłości. Podobało mi się jak pomylili imię autora na David a on zabawnie odpisał „Drogi Goliacie”. ;3
No proszę Was. Żadna tam bezczelność, chamstwo czy arogancja wielkiego korpo. Tak to po prostu działa w takich organizacjach. W związku z log4j zespół Security dostał najpewniej polecenie, żeby szybko sprawdzić dostawców (takie 3rd party assessment ad hoc), więc poprosili Vendor Management (czy jakiś tam odpowiednik) o zrzut wszystkich dostawców usług IT, oprogramowania itp.dla tego korpo i słali masowo powyższy szablon z pytaniami. Ot, cała historia.
Nie firma o dochodach 500 miliardów dolarów. Tylko firma z listy Fortune-500 (listy największy firm na świecie), o miliardowych dochodach. Źle przetłumaczone.
Curl jest napisany w C, a luka Log4shell dotyczy programów napisanych w Javie.
Zapytanie dotyczy podmiotu dostarczającego curla, a nie samego curla. To jest próba weryfikacji, czy Log4shell nie został wykorzystany do ataku na curla i w dalszej perspektywie na firmę NNNN, a nie czy curl jest podatny na błąd w bibliotece Javy.
Oprócz tego błąd dotyczy każdego programu mogącego wejść w interakcję z Log4j: także biblioteki napisanej w C, jeżeli ma ona bindingi dla Javy i odwołuje się w nich do podatnego API.
„fortune-500 multi-billion dollar company”
Czy to oznacza firmę o dochodach 500 miliardów dolarów? Nie wiem czy jest sens czytać techniczną część artykułu jak tak prostej rzecz nie potraficie dobrze przetłumaczyć.
Podejrzewam, że jakiś biedny szeregowy pracownik w ramach łatania dziur dostał polecenie, aby sprawdzić czy wszystkie współpracujące z korporacją firmy stosują się do zasad bezpieczeństwa. Opisana sytuacja jest też powodem, dlaczego wiele firm unika jak ognia rozwiązań opensource (które nie mają możliwości wykupienia wsparcia technicznego).
I teraz cyk wpis do licencji open source, że korporacje powyżej kilku tysięcy pracowników muszą uiszczać twórcom opłatę za korzystanie z niezmodyfikowanej wersji biblioteki xD
Juźki, to nie pyta ten gigant-korporacja, tylko jakiś random-mjetek tam zatrudniony. Nikt poważny z poważnej firmy nie napisałby w taki sposób. Nie do gościa od open source
Co za idioci. Oprogramowanie jest open source, czyli mogą sobie sami łatwo sprawdzić w kodzie czy w ogóle używa log4j czy nie. To jest chyba logicznie pierwsza rzecz którą firma powinna zrobić w takiej sytuacji – ustalić, jaki software z tego, który wykorzystują, ma w ogóle coś wspólnego z log4j, i dopiero dla tych programów, które korzystają z log4j, podejmować jakiekolwiek dalsze działania. Tu ktoś zadziałał kompletnie bezmyślnie.
Ewidentny wałek kogoś podszywającego się pod dużą firmę, komu zależy na wyciągnięciu bardzo ważnych informacji bezpieczeństwa u źródła, które może takowe informacje posiadać, a na dodatek napisany w sposób żeby była odpowiednia presja…i pewnie tyle, dobrze że się dał wkręcić ;) Ja też mogę napisać takiego maila…i liczyć na to że odpisze, miałbym ciekawy materiał do działań ehh :)