Бомба с открытым кодом, история основателя Rivian и китайский победитель Amazon

Тема выпуска — бомба замедленного действия, которую заложили разработчики ПО с открытым кодом

Не самая понятная простому пользователю новость об обнаружении опасной уязвимости в библиотеке Apache Log4j на этой неделе не попала на первые полосы мировых СМИ — а зря. Обнаружение дыры в одной из самых популярных библиотек для Java не только открыло для взломов половину интернета, но и поставило ребром вопрос о зависимости инфраструктуры сети от разработчиков ПО с открытым кодом — энтузиастов-одиночек, которые не получают за свою работу деньги

Что случилось

В конце прошлой недели ​​в библиотеке Apache Log4j обнаружили уязвимость — Log4Shell. С ее помощью хакеры могут получить удаленный контроль над серверами и веб-приложениями по всему миру — эта программная библиотека используется для многих написанных на Java программ. Log4j используют, например, Amazon, Apple, Cloudflare, Steam и другие крупные сервисы.

Первые сообщения об уязвимости появились месяц назад: 24 ноября на нее первым обратил внимание сотрудник службы безопасности Alibaba и сообщил разработчикам. Те попытались сохранить уязвимость в тайне и спешно занялись ее устранением — но было поздно: уже 1 декабря случилась первая кибератака с использованием Log4Shell, а еще через неделю, 8 декабря, описание уязвимости массово разошлось в WeChat. Хакеры со всего мира ринулись искать сервера и устройства, которые с ее помощью можно взломать. За первые сутки после того, как об уязвимости стало широко известно, специалисты по кибербезопасности зафиксировали больше 800 тысяч попыток взлома с ее помощью.

Удивительно, но уязвимость существовала как минимум восемь лет — она впервые появилась не позже 2013 года. «Я подумал — боже мой, это же мой проект, — говорит из разработчиков Log4j, а теперь вице-президент Apache Software Foundation Кристиан Гробмайер. — А потом понял: это же и Apple, и Twitter, вообще все. Полмира, может, больше. Полный кошмар».

По международной шкале Common Vulnerability Scoring System (CVSS) Log4Shell получила 10 баллов из 10 возможных. Хакеры сразу же включили ее в наборы для взлома, позволяющие устанавливать криптомайнеры и включать компьютеры в ботнеты, закладывать бэкдоры и сканировать закрытую информацию.

Директор Агентства по кибербезопасности и инфраструктуре США (CISA) Джен Истерли провела специальную конференцию с основными компаниями, назвав уязвимость одной из самых, если не самой серьезной в своей карьере. По ее оценке, ее будут широко использовать «продвинутые» злоумышленники как вектор входа в защищенные сети, а окно времени, в которое ее можно гарантированно закрыть, будет узким. CISA предполагает, что под угрозой сотни миллионов компьютеров.

Разработчики быстро выпустили обновление, но спустя несколько дней обнаружилось, что все быстрые меры Apache Foundation были бесполезными.  Единственный способ защититься от взломов для пользователей — обновить библиотеку Log4j до последней версии, а это может занять дни и месяцы в зависимости от случаев, где она используется, говорят исследователи.

Откуда такой ущерб

Apache Log4j — это библиотека регистрации данных в Java, одном из самых популярных языков программирования, на котором многие компании пишут свои веб-приложения, программы и игры. Например, одним из первых, кто рассказал о наличии у себя уязвимости, стал Minecraft.

Log4j — один из проектов, поддерживаемых Apache Foundation. Это некоммерческая организация, которая уже двадцать лет занимается занимается развитием и продвижением ПО с открытым исходным кодом. Библиотеку Log4j, как и другие проекты Apache, кто угодно может использовать бесплатно.

Библиотеку Log4j используют для логирования — записи всего, что происходило на сайте или в приложении за время работы. Например, какие устройства и браузеры к ним обращались или сколько времени внутри приложения провел аккаунт. Все это необходимо, чтобы отслеживать ошибки, дорабатывать софт и решать другие задачи, поэтому свои системы логирования есть почти у каждого приложения и сайта. Log4j — одна из всего лишь двух существующих библиотек регистрации в Java — и теперь она стала угрозой сразу для миллионов устройств по всему миру.

«Чаще всего проблемы безопасности не так серьезны, как кажется, — заявил много лет проработавший в поддержке Log4j в Apache Software Foundation Гари Грегори. — Но не в этом случае».

Уязвимость сразу назвали одной из самых опасных в истории интернета не просто так. Для этого есть две главные причины. Во-первых, популярность Log4j в мире. А во-вторых, то, что использовать Log4Shell для взлома оказалось очень просто: для этого не нужны специальные знания или навыки. То есть хакер-любитель легко мог взломать сайт крупной компании или банка. Для этого нужно лишь ввести одну строку кода в логи сервера, заставить его получить вредоносное ПО и после этого управлять им удаленно. Взломать таким образом можно даже очень хорошо защищенные сервисы, например, Apple iCloud.

Меньше чем через неделю после обнаружения уязвимости Microsoft сообщила, что уязвимость уже всерьез начали эксплуатировать хакерские группировки из Китая, Ирана, Северной Кореи и Турции. Затронула эта волна и Россию: компания «Инфосистемы Джет» обнаружила случаи распространения шифровальщиков с помощью этой уязвимости, пишет РБК, а в «Лаборатории Касперского» насчитали 4,5 тысяч атак на российские компании. «Потом месяцами мы будем наблюдать объявления о продаже доступов к инфраструктуре компаний, через которые можно красть деньги, распространять шифровальщики, майнить криптовалюту», — говорил РБК директор центра информационной безопасности «Инфосистемы Джет» Андрей Янкин.

Бомба замедленного действия

Ситуация, так напугавшая многих специалистов по кибербезопасности, проливает свет и на более масштабную проблему — уязвимость ПО с открытым кодом. Log4j — это открытое программное обеспечение, которое даже техногиганты используют бесплатно. Разработчики такого софта —  их называют мейнтейнерами — обычно занимаются этим добровольно, в свободное от работы время и работают бесплатно или за донаты в GitHub или Patreon (о том, как это устроено, можно почитать здесь или здесь). Так было и в случае с уязвимостью в Log4j: разработчик, исправивший свою ошибку, работал за переводы от трех спонсоров на GitHub.

В результате выходит странная ситуация: опенсорс-проекты могут приносить миллионы долларов корпорациям, ошибки в них могут вывести из строя чуть ли не весь интернет, но работают над этими проектами люди, для которых это не основная работа и у которых даже нет гарантированного вознаграждения за труд — они работают на голом энтузиазме, который обычно рано или поздно заканчивается, пишет криптограф из Google Филиппо Валсорда.

В последний раз мировое IT-сообщество сталкивалось с таким масштабным кризисом из-за ПО с открытым кодом в 2014 году: тогда в протоколе OpenSSL обнаружили уязвимость, из-за которой хакеры могли читать память сервера или клиента, а значит, получать доступ к зашифрованным перепискам и данным о паролях и кредитных картах пользователей. Затронула она около 17% защищенных сайтов интернета. Тогда оказалось, что проект получал от пожертвований только $2000 в год, а постоянно над ним работал лишь один разработчик.

После этого крупнейшие IT-корпорации договорились создать программу финансирования открытых проектов Core Infrastructure Initiative, которую возглавил фонд развития операционной системы Linux. Amazon, Cisco, Facebook, Google, IBM, Intel, Microsoft и другие компании тогда пообещали на протяжении трех лет вносить в программу не меньше $100 тысяч в год. Затем появился фонд OpenSSF, который эту программу продолжил. Но это проблему не решило: в мире оказалось слишком много разных программ с открытым исходным кодом, которые используются в разных проектах, и определить, какие из них надо поддерживать в первую очередь, оказалось сложно, пишет Protocol. Log4j — яркий пример: до его разработчиков корпоративные деньги так и не добрались.

Взять на себя эту работу могли бы фонды Apache или Linux Foundation, но у этой модели есть свои недостатки. Например, многих в сообществе стало не устраивать, что опенсорс-проекты таким образом впадают в зависимость от тех, кто им платит.

Все современные программы и приложения собраны из десятков и сотен кусков, многие из которых — это опенсорс, пишет Protocol. Мир давно согласился с тем, что нет смысла каждый раз все придумывать и писать с нуля, когда вы создаете новое приложение. Именно из-за этого мы можем наблюдать такое бурное развитие технологий за последние два десятилетия: если бы компаниям приходилось платить за лицензии или каждый раз строить с нуля все базовые вещи — сантехника, без которой ничего не работает, — мы бы жили в совсем другом мире. Но несмотря на то, что ПО с открытым исходным кодом управляет интернетом, а следовательно, и экономикой, работа мейнтейнера так и не превратилась из хобби в настоящую профессию. И теперь с этим надо срочно что-то делать, иначе следующая ошибка может оказаться гораздо хуже предыдущей.

ОТ РЕДАКЦИИ

Поучаствуйте в развитии The Bell

Спасибо, что читаете нашу рассылку! За этот год мы расширили круг тем, стали привлекать новых авторов с глубокой экспертизой. Принципал Fort Ross Ventures Денис Ефремов писал для нас рассылку о пандемическом венчурном буме,  а один из лучших российских китаистов Александр Габуев из московского центра Карнеги — объяснял, зачем Си Цзиньпин укрощает китайский бигтех. Мы написали о гонке метавселенных за три месяца до того, как весь мир узнал это слово из презентации Цукерберга, рассказали о проблемах бизнеса Mail.Ru Group за полтора месяца до ее продажи «Согазу» и первыми узнали подробности этой сделки.

Профессиональный контент и доступ к экспертизе стоят денег. Мы хотим развивать проект с помощью читателей, которые видят в нем для себя ценность.

Вы можете поддержать развитие технорассылки The Bell, отсканировав QR-код ниже и сделав платеж на любую сумму, которую вы считаете адекватной.

СУД 

Суд по делу Theranos идет к финишу

Присяжные заседатели в пятницу, 17 декабря, получили дело основательницы биотехнологического стартапа Theranos Элизабет Холмс, обвиняемой в обмане инвесторов и мошенничестве на сотни миллионов долларов. Жюри предстоит рассмотреть показания десятков свидетелей, которые были собраны за три месяца с начала судебного процесса. Из них, кстати, стало известно, что Theranos годами не проводила аудит финансовой отчетности. А в начале 2009 года у компании возникли проблемы с начислением заработной платы сотрудникам и оплатой услуг поставщиков. А еще Theranos подделывала отчеты перед инвесторами — например, добавляла логотип Pfizer, чтобы убедить их в том, что технология стартапа получила одобрение от крупнейших фармацевтических компаний. Подробнее о том, как продвигается суд, читайте здесь.

ИСТОРИИ

Энтузиаст, инженер, миллиардер

Месяц назад производитель электрокаров Rivian провел успешное IPO, и его капитализация с учетом опционов подскочила выше $100 млрд. Комментируя успехи Rivian вопреки миллиардным убыткам при отсутствии массового производства, основатель и CEO Rivian Ар-Джей Скариндж отметил, что интерес инвесторов связан с «масштабом открывающихся возможностей». Но вряд ли они поверили бы в компанию, не будь у руля сам Скариндж, которому в этом году исполнилось всего 38 лет. Здесь мы рассказываем, кто он такой.

READ LATER

  • Команда аналитиков Google Project Zero анализирует, как устроена уязвимость в iMessage, которой пользовалась NSO для слежки за iPhone
  • Как китайский интернет-магазин Shein победил Amazon на его же собственном поле и заново изобрел быструю моду
  • Вся правда техно-IPO: на цифрах за 10 лет показано, как самые модные компании оказались далеко не самыми ценными для их инвесторов