Internet at Risk: ಇಡೀ ಅಂತರ್ಜಾಲಕ್ಕೆ ಮಾರಕ Log4j ಸಾಫ್ಟ್ವೇರ್ ನ್ಯೂನತೆ: ಟೆಕ್ ಕಂಪನಿಗಳು ಹೇಳೋದೇನು?
*ದೈತ್ಯ ಟೆಕ್ ಕಂಪನಿಗಳಿಗೆ ತಲೆನೋವಾಗಿರುವ Log4j Security flaw
*ಇದರಿಂದ ಸುಲಭವಾಗಿ ಯಾವುದೇ ಕಂಪ್ಯೂಟರ್ ಸಿಸ್ಟಮ್ ಹ್ಯಾಕ್
*Google, Microsoft, Amazon ಕೈಗೊಂಡಿರುವ ಕ್ರಮಗಳೇನು?
ಯುಎಸ್ಎ(ಡಿ. 14): ಇತ್ತೀಚಿನ ದಿನಗಳಲ್ಲಿ ಅತ್ಯಂತ ಗಂಭೀರವಾದ ಸಾಫ್ಟ್ವೇರ್ ನ್ಯೂನತೆಗಳಲ್ಲೊಂದು (Software Flaw) ಎಂದು ಕರೆಯಲ್ಪಡುತ್ತಿರುವ Log4j ಯಿಂದ ಪ್ರಪಂಚದ ದೈತ್ಯ ಟೆಕ್ ಕಂಪನಿಗಳ ಸೇವೆಗಳು ಅಪಾಯದಲ್ಲಿವೆ. Log4j ಸಾಫ್ಟ್ವೇರ್ನಲ್ಲಿನ ದೋಷವು ಹ್ಯಾಕರ್ಗಳಿಗೆ ಕಂಪ್ಯೂಟರ್ ಸಿಸ್ಟಮ್ಗಳಿಗೆ ಸುಲಭಾವಗಿ ಆ್ಯಕ್ಸಸ್ ನೀಡುತ್ತದೆ. ಈ ಬೆನ್ನಲ್ಲೇ ಯುಎಸ್ ಸರ್ಕಾರದ ಸೈಬರ್ಸೆಕ್ಯುರಿಟಿ ಏಜೆನ್ಸಿಗಳು ತುರ್ತು ಎಚ್ಚರಿಕೆಯನ್ನು ನೀಡಿವೆ.
ಈ ಹೊಸ ಸಾಫ್ಟ್ವೇರ್ ನ್ಯೂನತೆಯೂ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ಲೈಬ್ರರಿ Log4j ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಇದನ್ನು ಅತ್ಯಂತ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ವೆಬ್ ಸರ್ವರ್ Apache ನಿಂದ ರಚಿಸಲಾಗಿದೆ. ಈ ಅಪಾಯದ ಬಗ್ಗೆ ಮೊದಲು Minecraft ಪ್ಲೇಯರ್ಗಳು ಕಂಡುಹಿಡಿದರು ಆದರೆ ಈ ದುರ್ಬಲತೆಯು ಕೇವಲ Minecraft ಅಷ್ಟೇ ಅಲ್ಲದೇ Log4j ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವ ಪ್ರತಿಯೊಂದು ಪ್ರೋಗ್ರಾಂನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂದು ತಿಳಿದುಬಂದಿದೆ. ಈ ಮೂಲಕ ಹ್ಯಾಕರ್ಸ್ ಸುಲಭವಾಗಿ ಯಾವುದೇ ಕಂಪ್ಯೂಟರ್ ಸಿಸ್ಟಮ್ ಹ್ಯಾಕ್ ಮಾಡುವ ಸಾಧ್ಯತೆಗಳಿವೆ. ಇದು ಈಗ ಪ್ರಪಂಚದ ದೈತ್ಯ ಟೆಕ್ ಕಂಪನಿಗಳಿಗೆ ತಲೆ ನೋವಾಗಿ ಪರಿಣಮಿಸಿದೆ. ಈ ಬಗ್ಗೆ ದೈತ್ಯ ಟೆಕ್ ಕಂಪನಿಗಳು ಹಲವು ಕ್ರಮಗಳನ್ನು ಕೈಗೊಂಡಿವೆ.
Log4j ಸಾಫ್ಟ್ವೇರ್ ನ್ಯೂನತೆಯೂ ಕಳೆದ 10 ವರ್ಷಗಳಲ್ಲಿನ ಅತಿ ಕೆಟ್ಟ ನ್ಯೂನತೆಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ಸಂಪೂರ್ಣ ಇಂಟರ್ನೆಟ್ ಅನ್ನು ಅಪಾಯಕ್ಕೆ ಸಿಲುಕಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿರುವ ಭದ್ರತಾ ದೋಷಕ್ಕೆ ಟೆಕ್ ಕಂಪನಿಗಳು ಹೇಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುತ್ತಿವೆ ಎಂಬುದರ ಮಾಹಿತಿ ಇಲ್ಲಿದೆ.
Microsoft
Log4j ದುರ್ಬಲತೆ, ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಗಳನ್ನು ವ್ಯವಹಾರ ಮಡಾಲು ಬಳಸುವ ಯಂತ್ರಗಳ ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುವುದಲ್ಲದೇ ಸೂಕ್ಷ್ಮವಾದ ಡೇಟಾ ಕಳ್ಳತನದಂತಹ ಗಂಭೀರ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು ಎಂದು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಶನಿವಾರ ಹೇಳಿದೆ. ಗುರುವಾರ ತಡರಾತ್ರಿ ಬಹಿರಂಗಗೊಂಡ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಷನ್ (ಆರ್ಸಿಇ) ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಪ್ರಯತ್ನಗಳನ್ನು ತನ್ನ ಗುಪ್ತಚರ ತಂಡಗಳು ಟ್ರ್ಯಾಕ್ ಮಾಡುತ್ತಿವೆ ಎಂದು ಟೆಕ್ ದೈತ್ಯ ಹೇಳಿದೆ.
ಪ್ರತ್ಯೇಕ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ನಲ್ಲಿ, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಸೆಕ್ಯುರಿಟಿ ರೆಸ್ಪಾನ್ಸ್ ಸೆಂಟರ್ನ ತನ್ನ ಭದ್ರತಾ ತಂಡಗಳು "ಅಪಾಚೆ Log4j ಅನ್ನು ಎಲ್ಲಿ ಬಳಸಬಹುದು ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ನಮ್ಮ ಉತ್ಪನ್ನಗಳು ಮತ್ತು ಸೇವೆಗಳ ಸಕ್ರಿಯ ತನಿಖೆಯನ್ನು ನಡೆಸುತ್ತಿದೆ" ಎಂದು ಬರೆದಿದೆ. ಜತೆಗೆ ಗ್ರಾಹಕರು ಯಾವುದೇ ಅಸಹಜ ಚಟುವಟಿಕೆ ಗುರುತಿಸಿದರೆ ಅದು ತಕ್ಷಣ ತಿಳಿಸಿ ಎಂದು ಕಂಪನಿಯು ಹೇಳಿದೆ
Google ಕ್ಲೌಡ್ ತನ್ನ ಭದ್ರತಾ ಸಲಹಾ ಟಿಪ್ಪಣಿಗಳಲ್ಲಿ ಅದು ಸಾಫ್ಟ್ವೇರ್ ನ್ಯೂನತೆಯನ್ನು ಸಕ್ರಿಯವಾಗಿ ಅನುಸರಿಸುತ್ತಿದೆ ಎಂದು ಹೇಳಿದೆ. “ನಾವು ಪ್ರಸ್ತುತ Google ಕ್ಲೌಡ್ ಉತ್ಪನ್ನಗಳು ಮತ್ತು ಸೇವೆಗಳಿಗೆ ಸಾಫ್ಟ್ವೇರ್ ನ್ಯೂನತೆ ಸಂಭಾವ್ಯ ಪರಿಣಾಮನ್ನು ಪರೀಕ್ಷೀಸುತ್ತಿದ್ದೇವೆ. ಈ ಪ್ರಕ್ರಿಯೆ ಹೀಗೆ ಮುಂದುವರೆಯಲಿದೆ. ಹಾಗಾಗಿ ನಮ್ಮ ಗ್ರಾಹಕರಿಗೆ ಸಂವಹನ ಚಾನಲ್ಗಳ ಮೂಲಕ ನಾವು ಅಪ್ಡೇಟ್ ನೀಡುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತೇವೆ" ಎಂದು ಗೂಗಲ್ ಹೇಳಿದೆ. ಜತೆಗೆ ಕಂಪನಿಯು ತಮ್ಮ ಎಲ್ಲ ಬಳಕೆದಾರರಿಗೆ ಗೂಗಲ್ ನೀಡುವ ಸೇವೆಗಳ ಅಪ್ಲಿಕೇಶನ್ ಗಳನ್ನು ಅಪ್ಡೇಟ್ ಮಾಡುವಂತೆ ತಿಳಿಸಿದೆ.
VM Ware
ಕಂಪ್ಯೂಟರ್ ವರ್ಚುವಲೈಸೇಶನ್ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ತಯಾರಿಸುವ VMWare Inc, ಅದರ ಹಲವಾರು ಉತ್ಪನ್ನಗಳು ಜಾವಾ-ಆಧಾರಿತ Log4j ನಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುತ್ತದೆ ಎಂದು ಗುರುವಾರ ಹೇಳಿದೆ. ಕ್ಲೌಡ್ ಕಂಪ್ಯೂಟಿಂಗ್ ಕಂಪನಿಯು ಈ ನ್ಯೂನತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುವ ತನ್ನ ಎಲ್ಲಾ ಉತ್ಪನ್ನಗಳು ಮತ್ತು ಆವೃತ್ತಿಗಳನ್ನು ಪಟ್ಟಿಮಾಡಿದೆ.
ಶನಿವಾರದವರೆಗೆ, ಅದರ ಎಲ್ಲ ಸೇವೆಗಳನ್ನು ರಕ್ಷಿಸಲಾಗಿದೆ ಮತ್ತು ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ ಎಂದು ಕಂಪನಿಯು ತಿಳಿಸಿದೆ. Log4j ನ್ಯೂನತೆಯಿಂದ ಪ್ರಭಾವಕ್ಕೊಳಗಾಗಿರುವ ಗ್ರಾಹಕರನ್ನು VMware ಸಂಪರ್ಕಿಸಿದೆ ಎಂದು ಕಂಪನಿಯು ತನ್ನ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ನಲ್ಲಿ ಬರೆದಿದೆ. "Log4j ನ್ಯೂನತೆ ಸಂಬಂಧಿಸಿದ ಅಪಾಯವನ್ನು ತಗ್ಗಿಸಲು ವಿಭಿನ್ನ ಭದ್ರತಾ ನಿಯಂತ್ರಣಗಳು ಮತ್ತು ರಕ್ಷಣಾ ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ ಆದ್ದರಿಂದ ಹೇಗೆ ಮುಂದುವರಿಯಬೇಕು ಎಂಬ ನಿರ್ಧಾರವು ನಿಮಗೆ ಬಿಟ್ಟದ್ದು. ಆದಾಗ್ಯೂ, ತೀವ್ರತೆಯನ್ನು ಗಮನಿಸಿದರೆ, ನೀವು ತಕ್ಷಣ ಕ್ರಮ ಕೈಗೊಳ್ಳುವಂತೆ ನಾವು ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ. ಹಾಗಾಗಿ ಶೀಘ್ರದಲ್ಲೆ ಎಲ್ಲ ಸೇವೆಗಳನ್ನು ಅಪ್ಡೇಟ್ ಮಾಡಿ" ಎಂದು VM Ware ತಿಳಿಸಿದೆ,
CISCO
ಡಿಸೆಂಬರ್ 2 ರಿಂದ ಆಕ್ರಮಣಕಾರರ ಚಟುವಟಿಕೆಯನ್ನು ಸಿಸ್ಕೊ ಟ್ಯಾಲೋಸ್ ಗಮನಿಸಿದೆ. ಸಾಂಪ್ರದಾಯಿಕ ವೆಬ್ ಸರ್ವರ್ಗಳ ಜೊತೆಗೆ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ವಿವಿಧ ಸಾಫ್ಟ್ವೇರ್ಗಳಲ್ಲಿ Log4j ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ಹಾಗಾಗಿ ಇದನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದು ಸರಿಯಲ್ಲ. ಆದರೆ ಇಂಥಹ ನ್ಯೂನತೆಗಳಿಂದ ಪಾರಾಗಲೂ ಹೊಸ ತಂತ್ರಜ್ಞಾನ ಅಭಿವೃದ್ಧಿ ಪಡಿಸಿದ ತಕ್ಷಣ ವೆಬ್ ಸರ್ವರ್ಗಳನ್ನು ಆಕ್ರಮಣ ಮಾಡಲು ಹ್ಯಾಕರ್ಗಳು ಹೊಸ ಮಾರ್ಗಗಳನ್ನು ಹುಡುಕುತ್ತಾರೆ ಎಂದು ಸಿಸ್ಕೊ ಎಚ್ಚರಿಸಿದೆ.
"ಹ್ಯಾಕರ್ಸ್ ಮತ್ತು ಮತ್ತು ಬಳಕೆದಾರರ ನಡುವಿನ ಸಂವಹನದ ವಿವಿಧ ಅಂಶಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಸಾಧನಗಳು ಕೂಡ ನ್ಯೂನತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಬಹುದು, ಅವುಗಳು ಸಂಭವನೀಯ ರಾಜಿಗೆ ಒಡ್ಡಿಕೊಳ್ಳಬಹುದು" ಎಂದು ಕಂಪನಿಯು ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ನಲ್ಲಿ ತಿಳಿಸಿದೆ.
Amazon
ಅಮೆಜಾನ್ ವೆಬ್ ಸರ್ವಿಸಸ್ (AWS) ಓಪನ್ ಸೋರ್ಸ್ (open-source) ಅಪಾಚೆ “Log4j2″ ಯುಟಿಲಿಟಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ಭದ್ರತಾ ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ತನಗೆ ತಿಳಿದಿದೆ ಎಂದು ಹೇಳಿದೆ. "ನಾವು ಈ ಸಮಸ್ಯೆಯನ್ನು ಸಕ್ರಿಯವಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತಿದ್ದೇವೆ ಮತ್ತು Log4j2 ಅನ್ನು ಬಳಸುವ ಅಥವಾ ಗ್ರಾಹಕರಿಗೆ ಅವರ ಸೇವೆಯ ಭಾಗವಾಗಿ ಒದಗಿಸುವ ಯಾವುದೇ AWS ಸೇವೆಗಳಿಲ್ಲಿನ ಈ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲು ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದೇವೆ" ಎಂದು ಅಮೆಜಾನ್ ಹೇಳಿದೆ.
ಇದನ್ನೂ ಓದಿ:
1) Warning: Google Chrome ಬಳಸುತ್ತಿದರೆ ಮಿಸ್ ಮಾಡದೇ ಅಪ್ಡೇಟ್ ಮಾಡಿ: ಕೇಂದ್ರದ ಸಲಹೆ!
2) ISRO Agreement With Oppo: ನ್ಯಾವಿಗೇಷನ್ ಸೇವೆಗಾಗಿ ಚೀನಾ ಸಂಸ್ಥೆಯೊಂದಿಗೆ ಇಸ್ರೋ ಒಪ್ಪಂದ!
3) Better.com ವಜಾಗೊಳಿಸಿದ್ದ 900 ಸಿಬ್ಬಂದಿಗೆ ಉದ್ಯೋಗ ಮೇಳ : ಮೈಕ್ರೋಸಾಫ್ಟ, ರಾಬಿನ್ಹುಡ್ ಭಾಗಿ!