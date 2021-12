Het beveiligingslek Log4Shell doet IT-departementen over de hele wereld overuren kloppen. Cyberexperts voorspellen een nieuwe golf aan gijzelsoftware.

De perfecte storm. Zo noemt Tom Van de Wiele, cyberexpert bij F-Secure, het beveiligingslek dat bekend staat als Log4Shell. 'Zoekbalken of chatbots op het internet zijn plots handige toegangspunten voor hackers geworden.' Het beveiligingslek laat nog maar eens zien hoe bedrijven en overheden afhankelijk zijn van software die gratis gebouwd werd door vrijwilligers.

De essentie Sinds vorige week is het alle hens aan dek bij IT-departementen om het beveiligingslek Log4Shell te dichten.

Volgens beveiligingsexperts mogen we een nieuwe golf gijzelsoftware-aanvallen verwachten.

Het lek toont nog maar eens aan hoe kwetsbaar het internet en zijn toepassingen zijn.

Beheerders van webtoepassingen houden graag een logboek bij van wat in hun toepassing gebeurt. 'Dat is handig om problemen te detecteren', zegt Rik Tytgat van het softwarebedrijf Ixor. Beheerders kunnen zien welke bestanden geopend of gesaved worden, welke IP-adressen verbinding hebben gemaakt en op welk moment ze dat gedaan hebben. Een van de toepassingen die ze daarvoor gebruiken, is Log4j, een bibliotheek die geschreven is in de computertaal Java.

Open source

Het probleem met Log4j is dat de bibliotheek meer doet dan alleen loggen. Met de juiste commando's kunnen hackers informatie verzamelen over de achterliggende IT van overheden en bedrijven. Hoe groot of hoe technologisch onderlegd ze ook zijn. Volgens de website TechCrunch zijn Amerikaanse bedrijven zoals Apple, Amazon en Twitter kwetsbaar, net als de Chinese bedrijven Tencent en Baidu.

Als je een Lego-doos koopt, weet je perfect welke blokjes erin zitten. Bij software is dat niet zo. Tom Van de Wiele F-Secure

Overal ter wereld hebben IT-departementen dit weekend overuren gedraaid om softwarepaketten bij te werken zodat het lek gedicht kan worden. 'Het is erg moeilijk te controleren waar dat kan zitten', zegt Van de Wiele. Log4j is opensourcesoftware die in talloze bedrijfssoftware gebruikt wordt. 'Als je een Lego-doos koopt, weet je perfect welke blokjes erin zitten. Bij software is dat niet zo', zegt Van de Wiele. Met andere woorden: IT'ers hebben er in veel gevallen het raden naar of hun systemen kwetsbaar zijn.

Bots

Er is een race tegen de klok bezig. Aan de ene kant heb je cybercriminelen die lucht hebben gekregen van de kwetsbaarheid en die koste wat het kost willen uitbuiten. Op het internet krioelt het van de bots die in een razend tempo automatisch commando's invullen op invulpagina's om te testen of een bedrijf of overheid de Log4Shell-bug nog niet gedicht heeft.

Aan de andere kant proberen IT-departementen de kwetsbaarheden in kaart te brengen en weg te werken. Daarnaast zoeken ze uit of ze al zijn aangevallen. 'Daarbij mag je niet over het hoofd zien dat voor veel toepassingen, zoals marketingplatformen of payrolltoepassingen, een beroep gedaan wordt op een derde partij. Ook die moet je contacteren.'

Het Nationaal Cyber Security Center (NCSC) publiceerde zondagavond een lange lijst met kwetsbare en niet-kwetsbare applicaties om IT-departementen te helpen. Het NCSC reageerde niet op vragen van De Tijd.

Gijzelsoftware

Welk risico lopen getroffen bedrijven? 'In de eerste plaats zien we dat hackers veel scans doen om kwetsbare systemen te vinden', zegt Bart Van den Branden van het Limburgse IT-bedrijf Cegeka. Cryptofanaten die erin slagen ingang tot servers en computers te vinden, proberen cryptomunten te delven op gehackte systemen. Maar onder al dat lawaai zijn cybercriminelen aan de slag die veel geavanceerder te werk gaan.

'Zij maken van het beveilingslek gebruik om interessante data buit te maken. Door het grote aantal scans en inbraakpogingen gaan ze op in de massa, maar er bestaat een groot risico dat ze malware installeren', zegt Van den Branden. Vooral over bedrijven die over de tijd, het geld noch de kennis beschikken om zich daartegen te beschermen, maakt men zich zorgen.

Cryptofanaten zien hun kans schoon een ingang te vinden tot servers en computers die hen de nodige rekenkracht bieden om cryptomunten te delven.

Lift of brug

Volgens Van de Wiele toont deze crisis nog maar eens een van de grootste uitdagingen van de 21ste eeuw aan. 'Iedereen wil de honing, maar niemand wil de kiespijn.' Een groot deel van de software-infrastructuur steunt op lijnen code die gratis ontwikkeld werden, maar waar niemand nog verantwoordelijkheid voor neemt.