Indignatie redactie 
Een historische gebeurtenis van ongekende omvang die de specialisten nog vele maanden bezig zal houden: deze informatie heeft de reguliere media en het grote publiek niet verlaten.
“Log4j” is bij niemand buiten de ontwikkelaarskringen bekend . En velen die dit stukje computercode gebruiken, zijn zich niet eens bewust van de kwetsbaarheid ervan. Voor pc’s, smartphones, gameconsoles en objecten met internet in het algemeen is het een van de meest gebruikte programma’s ter wereld met tot een miljard downloads per jaar. Vanwege de ernst heeft de Log4j-kwetsbaarheid een eigen naam gekregen. Het heet “Log4Shell”.
Zo’n 25 jaar geleden schreef Ceki Gülcü, die nu zijn eigen softwareadviesbureau heeft, zijn masterscriptie in cryptografie in het IBM-onderzoekslaboratorium in de buurt van Zürich in Zwitserland. Na zijn studie bleef hij werkzaam in een IBM-team dat zich bezighield met databeveiliging.
De software die hij ontwikkelde schrijft op wat er gebeurt als je software gebruikt en Log4j versie 1 is gemaakt. Ceki Gülcü legde de functionaliteit van Log4j uit aan de hand van het voorbeeld van de zwarte doos in een vliegtuig, die de gesprekken van de piloten, de snelheid, de hoogte en alle technische aspecten vastlegt die zijn geprogrammeerd om de vlucht te volgen en te besturen.
De software van Log4j is open source, dat wil zeggen software die gratis ter beschikking wordt gesteld van het grote publiek. Dergelijke software heeft de reputatie over het algemeen veilig te zijn, juist vanwege de transparantie. Aangenomen wordt dat vele ogen ervoor zorgen dat eventuele problemen worden herkend en opgelost.
In 2000 werd het programma officieel overgedragen aan de open source foundation Apache. Deze non-profit stichting bestaat uit vrijwillige ontwikkelaars en medewerkers. In 2006 verliet Ceki Gülcü het project en ontwikkelde zijn eigen software zoals SLF4J of LogBack, die tegenwoordig bekend en populair is.
In 2012 is de Apache Foundation gestart met een volledige revisie onder de naam Log4j Versie 2. Er is een speciale functie geïntroduceerd: Log4j 2 analyseert en interpreteert externe programma’s voordat hun inhoud verder wordt gebruikt.
En dit is precies waar het beveiligingslek meer dan een maand geleden werd ontdekt: een aanvaller kan een speciaal vervaardigd bestand indienen dat Log4j ten onrechte accepteert. Dit betekent dat elke code van externe bronnen kan worden uitgevoerd. Een andere optie is om de gecompromitteerde computer gewoon te bevriezen en vervolgens losgeld te eisen.
De ontdekking van de kwetsbaarheid leest als een trein. Het was Chen Zhaojun, een lid van het Alibaba Cloud Security-team, die de kwetsbaarheid ontdekte. Hij informeerde de Apache Foundation en maakte samen met hen de kwetsbaarheid openbaar op 9 december 2021, waardoor de ontwikkelaars genoeg tijd hadden om het probleem op te lossen. Na een lek op een Chinees blogplatform kort voor publicatie, ontstonden er discussies over de details van de kwetsbaarheid. Hackers wachtten niet af: de eerste aanvallen werden waargenomen in de eerste dagen na ontdekking.
Maximale schade
Van reuzen als NASA, Twitter, Oracle en Apple is bekend dat ze programma’s gebruiken waarin de Log4j-kwetsbaarheid aanwezig is. Zo zou iCloud, de online opslagdienst van Apple, via dit beveiligingslek gehackt kunnen zijn. In theorie is de kleine helikopter die NASA naar Mars stuurde ook kwetsbaar, omdat sommige van de programma’s die worden gebruikt om ermee vanaf de aarde te communiceren, gebaseerd zijn op Log4j. Ook het midden- en kleinbedrijf, overheidsinstanties en zelfs particulieren met privéservers in huis worden getroffen en het zal nog even duren voordat de omvang van het gat bekend is.
Verder is duidelijk dat het Belgische Ministerie van Defensie het eerste bekende slachtoffer was van een Log4Shell-aanval. Spectaculaire voorzorgsmaatregelen werden getroffen, bijvoorbeeld in Canada met het preventief afsluiten van overheidsservers of in Duitsland met het gigantische bedrijf Bosch, dat ook verbonden objecten produceert en toegeeft getroffen te zijn, maar zonder verdere details te geven.
In feite is deze kwetsbaarheid mogelijk al lang eerder ontdekt en uitgebuit door hackers, zonder dat iemand het merkt. Ter herinnering: versie 2 werd uitgebracht in 2012. Het is daarom niet uitgesloten dat criminelen kwaadaardige programma’s in computersystemen hebben gesmokkeld. Voor sommige actoren is het aantrekkelijker om toegang te krijgen tot vertrouwelijke informatie dan ervoor betaald te worden. Gevreesd wordt dat de eerste golf van aanvallen slechts een eerste aardbeving was voor een tsunami van grotere aanvallen.
Hoe moet een digitale toekomst eruit zien?
Feit is dat noch de samenleving, noch de overheden vandaag voorbereid zijn op een versnelde digitalisering.
Voordat regeringen blijven aandringen op elektronisch stemmen en de geautomatiseerde uitwisseling van medische gegevens, moeten samenlevingen discussiëren over het soort toekomst dat ze willen. Dit omvat een openbare discussie over de juridische aspecten, veiligheid en gegevensbescherming, infrastructuur, open source, toezicht, soevereiniteit over onze gegevens, democratie, cultuur, auteursrecht. En natuurlijk moet censuur ook in de discussies worden betrokken. En publieksparticipatie is nodig omdat de transitie ons allemaal aangaat – we moeten dringend digitale verantwoordelijkheid nemen.
Deze “computer-apocalyps” roept de vraag op naar het belang van onze digitale wereld. Er moeten noodplannen worden opgesteld, aangezien technische maatregelen alleen niet voldoende zijn. Landen en bedrijven moeten zich voorbereiden om door te kunnen werken in het geval van een grotere netwerkstoring. Daarnaast moet een infrastructuur voor crisiscommunicatie worden gepland.
Elke persoon is verantwoordelijk voor de beveiliging van zijn eigen computersysteem en zorgt ervoor dat hij de basisprincipes van privacy thuis kent: alle gevoelige gegevens moeten op een apart gebied van internet worden bewaard. Verander regelmatig de wachtwoorden, evenals het wachtwoord voor een WLAN en installeer een wachtwoord op elke harde schijf.
