Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Giga korporacja bierze na spytki twórcę curla (bo z niego korzysta :P). Odpowiedz nam w 24h!

31 stycznia 2022, 11:21 | Aktualności | komentarze 33

Nietypową wiadomość od pewnej korporacji otrzymał Daniel Stenberg, twórca m.in. narzędzia curl, czyli klienta HTTP działającego w terminalu. Firma o dochodach 500 miliardów dolarów „poprosiła” go o odpowiedź na osiem pytań dotyczących możliwego wpływu podatności Log4j na jeden z jego programów na licencji open source, który jest używany w tej korporacji.

Już w pierwszym akapicie pojawiła się prośba o udzielenie odpowiedzi w ciągu 24 godzin. Dalej nadawca poinformował o konieczności poznania ryzyka związanego z Log4j i zaznaczył, że firma bezpieczeństwo traktuje priorytetowo. Pytania były następujące:

  1. Czy odbiorca wiadomości używa Log4j w swoich aplikacjach, a jeśli tak, to w których?
  2. Czy w przeszłości w jego firmie miały miejsce potwierdzone incydenty?
  3. Jeśli tak, co konkretnie zostało naruszone w ramach tych incydentów?
  4. Czy produkty i usługi firmy NNNN zostały narażone?
  5. Czy jawne i poufne informacje tej firmy zostały ujawnione?
  6. Jeśli tak, to należy udzielić szczegółów.
  7. Jaki jest plan remediacji dla firmy NNNN?
  8. Jakie zadania są konieczne do realizacji remediacji?

Programista w odpowiedzi poinformował, że niezwłocznie udzieli wyjaśnień na te zapytania, jeśli tylko zostanie zawarta odpowiednia umowa dotycząca wsparcia. Firma odpowiedziała krótko, przy okazji myląc imię twórcy (Daniel -> David):

Are you saying that we are not a customer of your organization?

Riposta programisty była zdecydowanie bardziej rzeczowa i całkiem profesjonalna. Zwrócił on uwagę, że nie jest w żaden sposób związany z tą firmą, jak również zauważył brak wzmianki na temat programu jego autorstwa, którego używają nadawcy wiadomości. Pracownik powinien samodzielnie znaleźć odpowiedzi na przedstawione pytania.

Działania firmy NNNN w żadnym stopniu nie można określić pozytywnie. Używa ona za darmo oprogramowania open source, za które twórca nie otrzymuje wynagrodzenia. Mimo to daje ona 24 godziny na odpowiedzi, które w praktyce można uzyskać samodzielnie (kod źródłowy jest otwarty). Należy mieć na uwadze fakt, że o ile oprogramowanie open source jest darmowe, to profesjonalne wsparcie techniczne może wiązać się z opłatami (tak jest m.in. w przypadku niektórych systemów Linux). Nie stanowi to szczególnego problemu, ponieważ z łatwością można znaleźć rozwiązania i wyjaśnienia większości błędów na różnych popularnych serwisach typu: stackoverflow.com, serverfault.com, askubuntu.com czy digitalocean.com/community/questions.

–Michał Giza

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. K1ng

    Daj palec to będą chcieli ręke…

    Odpowiedz
  2. Marcin

    Popieram w 100% Sternberga. Sami w firmie korzystamy z oprogramowania i bibliotek open source, ale do głowy by nam nie przyszło żądać czegoś od autorów tego oprogramowania. Wręcz przeciwnie, jeśli tylko mogę coś sam poprawić w bibliotece pisząc coś do firmy, to po zrobieniu i przetestowaniu poprawki zawsze leci pull request z dokładnym opisem co poprawia i dlaczego.

    Tak czy inaczej tu pytanie tej firmy było o coś innego. Nie chodziło chyba, czy dane oprogramowanie autora korzysta z log4j, tylko czy autor korzysta z podatnego na atak oprogramowania – to potencjalnie pozwalałoby atakującemu przejąć maszynę autora i zmodyfikować kod źródłowy jego aplikacji, narażając na ataki tych, którzy korzystają z tego oprogramowania. Oczywiście żądanie tej informacji od autora w taki sposób nadal było nie na miejscu.

    Odpowiedz
    • Piotrek

      trochę racji masz aczkolwiek w przypadku oprogramowania open source, gdzie każdy może zobaczyć i zmodyfikować kod hackowanie autora w celu zmiany tego kodu jest dla mnie trochę bez sensu.

      Odpowiedz
      • qwerty

        no troche nie do konca masz racje ;) jasne mozesz sobie zmodyfikowac kod itp ale bez pull requesta i akcepta nie zmodyfikujesz go na oficjalnym „kanale”, z ktorego cala masa ludzi/przedsiebiorstw korzysta :) wiec jedyne co Ci pozostaje to próba utworzenia podobnego/”udajacego” oryginal gita i liczyc na to ze ktos przez pomylke bedzie z niego korzystal :)…
        atakujac kompa tworcy byli by w stanie zmodyfikowac kod u zrodla na zlosliwy bez niczyjej weryfikacji (jesli tworca repo ma uprawnienia pushowania bez pull requestow lub jest jedynym akceptujacym PR)

        Odpowiedz
  3. Imię

    kojarzycie reakcję naczelnego jak Peter Parker chciał zaliczki?

    Odpowiedz
    • Raimy_fan

      Tak, a mi od razu przyszło do głowy:
      „I missed the part where that’s my problem”

      Odpowiedz
  4. s

    Nie jest wcale tak łatwo znaleźć odpowiedzi na stackoverflow.com gdy korporacyjne IT security blokuje do niego dostęp. :)

    Odpowiedz
    • RamCin

      +1

      Odpowiedz
  5. smrodnik

    Zalatuje mi to śmierdzącą nadgorliwością smRODO i szukania dziury gdzie się da.

    Odpowiedz
  6. z kur wiele!

    Mają tupet! Nawet nie napisali, O KTÓRY PROGRAM pytają, ale żądają odpowiedzi (w ciągu 24 h) m.in. na pytania

    „2. Have there been any confirmed security incidents to your company?

    3. If yes, what applications, products, services, and associated versions are impacted?”

    Mogli jeszcze zapytać o historie chorób personelu.

    Odpowiedz
  7. Kali

    Meh, mógł ich te 24 godziny przynajmniej przetrzymać w tej błogiej niepewności.

    Odpowiedz
  8. Krzysztof

    Prawnicy wzięli się za IT 🙂

    Odpowiedz
    • Andrzej

      Żeby IT nie wzięło się za prawników, bo będą mieli puste notatniki zamiast akt sprawy :D

      Odpowiedz
  9. Przemysław

    Chamstwo ze strony korpo i tyle w temacie…

    Odpowiedz
  10. Też będę pytał

    Trzeba docenić że jeszcze ktoś wierzy w o co mówią twórcy to napawa optymizmem na przyszłość.

    Odpowiedz
  11. Jeżeli pominąć przeoczenie, że wśród adresatów prawdopodobnie masowo wysyłanej korespondencji jest niezwiązany żadną umową podmiot, i spóźnienie samego zapytania, to działania firmy NNNN są nie tylko pozytywne, ale godne naśladowania. Oznacza to, że prowadzi ona SBOM oraz do jakiegoś stopnia aktywną weryfikację łańcucha dostaw. Na wiadomość Stenberga odpowiedziała też czytająca ze zrozumieniem osoba, a nie organiczny bot zamykający tickety.

    n.b., firma nie ma dochodu 500 miliardów dolarów — to byłoby więcej niż Alphabet i Meta razem wzięci. Autorzy wiadomości należą do Fortune 500, czyli pięciuset największych przedsiębiorstw w USA. Czyli mówimy o organizacji o skali czegoś pomiędzy Orlenem a PNGiE.

    Odpowiedz
  12. Piotr

    Z jednej strony niefajnie ale z drugiej spójrzmy w szerszej perspektywie na tą wiadomość i okoliczności. Z Log4j zrobił się straszliwy fuckup, cały swiat usłyszał o tym, nawet dzieci grające w Minecrafta zostały zaimpaktowane. Firmy spanikowały, zaczęło się szukanie dziur wszędzie.Podejrzewam że ten mail (a raczej ten generyczny template) został wysłany przez szeregowego pracownika do WSZYSTKICH dostawców/autorów KAŻDEGO software’u/biblioteki jakie znaleźli u siebie.

    Odpowiedz
  13. Angielski

    „fortune-500 multi-billion” to nie jest „Firma o dochodach 500 miliardów dolarów”…

    Odpowiedz
  14. Meh

    Moim zdaniem akurat głupio wyszło, kiedy zadziałały generyczne procedury wielkiej organizacji.
    1. Zażądaj od IT listy wszystkich aplikacji od których zależą Twoje operacje wraz z kontaktem do autorów.
    2. Wyślij wszystkim takiego samego maila (no bo skoro korzystamy z ich oprogramowania, to jesteśmy ich klientem).

    Odpowiedz
  15. m

    > Firma o dochodach 500 miliardów dolarów „poprosiła” go
    Fortune 500 nie znaczy, że firma ma 500 miliardów dolarów dochodu, tylko że znajduje się na liście top 500 firm w USA :)

    Odpowiedz
  16. Ja tylko tak na chwilę

    EN: a fortune-500 multi-billion dollar company
    PL: Firma o dochodach 500 miliardów dolarów

    Odpowiedz
  17. szczektoś

    Pochodna trolli patentowych. W perspektywie – oskarżyć programistę open source o straty w wyniku błędów w oprogramowaniu, a następnie nagłośnić sprawę żeby inni przestali się udzielać i porzucili projekty. Przejąć projekty za bezcen, opatentować i wykorzystać komercyjnie. Profit.

    Odpowiedz
  18. Piotr

    Fortune 500 multi bilion company to nie jest firma z dochodem 500 miliardów tylko firma z listy 500 najbogatszych magazynu fortune. Tak gwoli ścisłości. Podobało mi się jak pomylili imię autora na David a on zabawnie odpisał „Drogi Goliacie”. ;3

    Odpowiedz
  19. Kuba

    No proszę Was. Żadna tam bezczelność, chamstwo czy arogancja wielkiego korpo. Tak to po prostu działa w takich organizacjach. W związku z log4j zespół Security dostał najpewniej polecenie, żeby szybko sprawdzić dostawców (takie 3rd party assessment ad hoc), więc poprosili Vendor Management (czy jakiś tam odpowiednik) o zrzut wszystkich dostawców usług IT, oprogramowania itp.dla tego korpo i słali masowo powyższy szablon z pytaniami. Ot, cała historia.

    Odpowiedz
  20. xyz

    Nie firma o dochodach 500 miliardów dolarów. Tylko firma z listy Fortune-500 (listy największy firm na świecie), o miliardowych dochodach. Źle przetłumaczone.

    Odpowiedz
  21. Tomasz

    Curl jest napisany w C, a luka Log4shell dotyczy programów napisanych w Javie.

    Odpowiedz
    • Zapytanie dotyczy podmiotu dostarczającego curla, a nie samego curla. To jest próba weryfikacji, czy Log4shell nie został wykorzystany do ataku na curla i w dalszej perspektywie na firmę NNNN, a nie czy curl jest podatny na błąd w bibliotece Javy.

      Oprócz tego błąd dotyczy każdego programu mogącego wejść w interakcję z Log4j: także biblioteki napisanej w C, jeżeli ma ona bindingi dla Javy i odwołuje się w nich do podatnego API.

      Odpowiedz
  22. Damian

    „fortune-500 multi-billion dollar company”

    Czy to oznacza firmę o dochodach 500 miliardów dolarów? Nie wiem czy jest sens czytać techniczną część artykułu jak tak prostej rzecz nie potraficie dobrze przetłumaczyć.

    Odpowiedz
  23. Damian

    Podejrzewam, że jakiś biedny szeregowy pracownik w ramach łatania dziur dostał polecenie, aby sprawdzić czy wszystkie współpracujące z korporacją firmy stosują się do zasad bezpieczeństwa. Opisana sytuacja jest też powodem, dlaczego wiele firm unika jak ognia rozwiązań opensource (które nie mają możliwości wykupienia wsparcia technicznego).

    Odpowiedz
  24. Marek

    I teraz cyk wpis do licencji open source, że korporacje powyżej kilku tysięcy pracowników muszą uiszczać twórcom opłatę za korzystanie z niezmodyfikowanej wersji biblioteki xD

    Odpowiedz
  25. Januszex

    Juźki, to nie pyta ten gigant-korporacja, tylko jakiś random-mjetek tam zatrudniony. Nikt poważny z poważnej firmy nie napisałby w taki sposób. Nie do gościa od open source

    Odpowiedz
  26. raj

    Co za idioci. Oprogramowanie jest open source, czyli mogą sobie sami łatwo sprawdzić w kodzie czy w ogóle używa log4j czy nie. To jest chyba logicznie pierwsza rzecz którą firma powinna zrobić w takiej sytuacji – ustalić, jaki software z tego, który wykorzystują, ma w ogóle coś wspólnego z log4j, i dopiero dla tych programów, które korzystają z log4j, podejmować jakiekolwiek dalsze działania. Tu ktoś zadziałał kompletnie bezmyślnie.

    Odpowiedz
  27. longj4ck

    Ewidentny wałek kogoś podszywającego się pod dużą firmę, komu zależy na wyciągnięciu bardzo ważnych informacji bezpieczeństwa u źródła, które może takowe informacje posiadać, a na dodatek napisany w sposób żeby była odpowiednia presja…i pewnie tyle, dobrze że się dał wkręcić ;) Ja też mogę napisać takiego maila…i liczyć na to że odpisze, miałbym ciekawy materiał do działań ehh :)

    Odpowiedz

Odpowiedz