Log4Shell: Wie angenehm Hacker zur Disziplin aufstiegen

Andreas Prott – stock.adobe.com

HackerOne CISO Chris Evans scheint dabei zu helfen, wie die Schutzgemeinschaft erfolgreich zur Disziplin von Log4Shell aufstieg und einzelne Organisationen rettete Tausende und Abertausende
  • )

    Durch

  • Chris Evans, CISO und Chief Hacking Officer, HackerOne

    Veröffentlicht: 30 Vielleicht sogar 2022

    Denken Sie an die Szene: Es entsteht eine übermäßige Verwundbarkeit, die Auswirkungen auf Organisationen hat weltweit, wodurch unbefugter Zugriff auf hochsensible Aufzeichnungen ermöglicht wird. Diese Disziplin entstand Ende 2021, als ein beliebtes Origin-Tool eine wichtige Schwachstelle namens Log4Shell druckte.

    Also, was genau ist passiert? Log4Shell ist eine Maschinenschwachstelle in Apache Log4j, einer breit angelegten Java-Bibliothek zum Protokollieren von Fehlermeldungen in Anwendungen. Es schickte Organisationen in den Anstrengungsmodus, als sie sich bemühten, zu erscheinen, wenn sie angreifbar waren.

    Inmitten der Mühe sprang die Hacker-Community auf Holz, jagte die Schwachstelle über die Autobahn der Richtlinien und stellte rechtzeitig zur Verfügung Berichte stehen im Mittelpunkt der Behebungsbemühungen.

    Ein schnelles Reaktionsfenster ist bei einer Schwachstelle wie Log4Shell erstaunlich wertvoll. Für einige Unternehmen besteht der Unterschied darin, entweder sofort zu wechseln oder Opfer eines Verstoßes zu werden. Wenn eine unverzichtbare neue Schwachstelle aufgedeckt wird, ist die Verbindung mit der moralischen Gemeinschaft ein weiteres Sicherheitsnetz für Organisationen.

    Die Plattform passt sich der Disziplin an. Im Fall von Log4Shell hat die Hacking-Community innerhalb von 24 Stunden nach der Veröffentlichung Hunderte von Schwachstellenberichten eingereicht, die sachlich zeigen, wie weit und groß die Schwachstelle früher war.

    Einige Monate später, wo stehen wir mit der Log4Shell-Disziplin? Wir haben Tausende von Berichten gesehen, und insgesamt 398 einzigartige Berichte haben bis jetzt eine Prämie erhalten. Die Arbeitsprämie für meine eigene Plattform insgesamt beträgt 1.284.847 US-Dollar.

    Das ist eine Menge Geld, das Hackern zugesprochen wird, aber auf der anderen Seite ist es eine winzige Mark, die im Verhältnis zum Wert eines Verstoßes zu zahlen ist – von IBM auf moderate 4 Millionen US-Dollar berechnet. Obwohl sich die gesamte Menge verlangsamt hat, holen sich Hacker weiterhin jeden Tag eine Handvoll Log4Shell-Schwachstellen.

    In der Industrie

  • Hier weiter zum Artikel

    Add Comment