Log4Shell या Log4j की भेद्यता के बारे में व्यापक रूप से चर्चा की जाती है, जैसाकि इसे वर्तमान समय की सुरक्षा की सबसे गंभीर भेद्यताओं में से एक माना जा रहा है। अलीबाबा क्लाउड सिक्योरिटी की टीम ने पहली बार दिसंबर 2021 की शुरुआत में इस भेद्यता पर प्रकाश डाला। Log4j, अनुप्रयोगों में संलेखन (लॉगिंग) संबंधी त्रुटि संदेशों के लिए एक जावा लाइब्रेरी, की खामी ने सरकारों को इस जोखिमपूर्ण सॉफ्टवेयर के दोष को ठीक करने के लिए तत्काल कदम उठाने हेतु आगाह किया है। Log4j की भेद्यता, दुर्भावनापूर्ण हमलावरों को किसी भी लक्षित कंप्यूटर पर दूरस्थ स्थान से सरलतापूर्वक कोड निष्पादित करने की सुविधा प्रदान करती है। इस भेद्यता को Log4Shell नाम दिया गया है, और इसे आधिकारिक तौर पर CVE-2021-44228 कहा जाता है। कॉमन वलनेरिबिलिटीज एंड एक्सपोजर्स (सीवीई) नंबर विश्व भर में खोजी गई प्रत्येक भेद्यता को प्रदान की जाने वाली विशिष्ट संख्या है। Log4j एक ओपन-सोर्स (ओपन-सोर्स शब्द का प्रयोग कंप्यूटर के ऐसे सॉफ्टवेयर या ऐप्लिकेशन के संदर्भ में किया जाता है, जो सार्वजनिक रूप से सबके लिए उपलब्ध हो और उसमें निहित विषय सामग्री को किसी भी व्यक्ति द्वारा संशोधित या साझा किया जा सकता है।) लॉगिंग एक लाइब्रेरी है, जिसे मूल रूप से सेकी गुलकु द्वारा लिपिबद्ध किया गया है। इस ऐप्लिकेशन का उपयोग विश्व के कई उद्यमों और विभिन्न सरकारी एजेंसियों द्वारा किया जाता है।
Log4j, अपाचे सर्वर पर लॉगिंग के लिए सबसे अधिक उपयोग की जाने वाली जावा-आधारित लॉगिंग सेवा है। यह सॉफ्टवेयर विकसित करने वालों (डेवलपर्स) को विभिन्न उद्देश्यों के लिए उपयोग की जाने वाली गतिविधि का रिकॉर्ड रखने हेतु विधि प्रदान करती है। इसका उपयोग समस्या निवारण (ट्रबलशूटिंग), लेखापरीक्षण (ऑडिटिंग) और डेटा की निगरानी के लिए किया जाता है। चूंकि, Log4j ओपन-सोर्स और निःशुल्क दोनों है, जावा लाइब्रेरी अनिवार्य रूप से इंटरनेट के हर हिस्से को प्रभावित करती है। अपनी प्रोग्रामिंग भाषा (किसी सॉफ्टवेयर के निर्माण में उपयोग की जाने वाली भाषा) के रूप में जावा का उपयोग करने वाला कोई भी उद्यम ज्यादातर Log4j लाइब्रेरी का उपयोग करता है। व्यवसायों और वेब पोर्टलों द्वारा भी व्यापक रूप से इसका उपयोग किया जाता है। कई इंटरनेट-प्रौद्योगिकी कंपनियां, जैसे ऐप्पल, माइक्रोसॉफ्ट, ट्विटर, गूगल रिले इत्यादि, जावा लाइब्रेरी का उपयोग करती हैं। इसका उपयोग एंटरप्राइज ऐप्लिकेशन [एंटरप्राइज ऐप्लिकेशन (ईए) सॉफ्टवेयर सिस्टम का एक महत्वपूर्ण प्लेटफॉर्म है, जिसे व्यवसाय या शासन प्रणाली जैसे निगमित (कॉर्पोरेट) परिवेश में संचालित करने के लिए डिजाइन किया गया है।] जैसे सिस्को, नेटएप, क्लाउडफेयर, अमेजॉन इत्यादि द्वारा भी किया जा रहा है।
इस सॉफ्टवेयर की भेद्यता व्यवसायों और उपयोगकर्ताओं को गंभीर रूप से प्रभावित करती है क्योंकि यह हैकर्स को सूचनाओं तक एक सरल पहुंच प्रदान करता है। यह उन्हें किसी भी डिवाइस या सर्वर पर रैंसमवेयर [रैंसमवेयर एक प्रकार का सॉफ्टवेयर (मालवेयर) है जो उपयोगकर्ताओं के कंप्यूटर सिस्टम के स्क्रीन को लॉक (बंद) कर या फिरौती का भुगतान होने तक उनकी फाइलों को लॉक कर उन्हें उनके डेटा या सिस्टम तक पहुंचने से रोकता अथवा उनकी पहुंच को सीमित कर देता है।] या मालवेयर अटैक [मालवेयर हमला एक सामान्य साइबर हमला है जहां मालवेयर (सामान्य रूप से दुर्भावनापूर्ण सॉफ्टवेयर) पीड़ित के सिस्टम पर अनधिकृत कार्रवाई करता है।] को आसानी से अंजाम देने की क्षमता भी देता है।
दिसंबर 2021 तक ओपन-सोर्स अपाचे Log4j लाइब्रेरी की GitHub (गिटहब) परियोजना से 4,00,000 से अधिक फाइल डाउनलोड किए जा चुके थे। गिटहब, सॉफ्टवेयर डेवलपर्स के लिए एक वेब-आधारित संस्करण-नियंत्रण (वर्जन-कंट्रोल कंप्यूटर के किसी भी प्रोग्राम, परियोजना या कोड में होने वाले परिवर्तनों का पता लगाने और संचालित करने की सुविधा प्रदान करने वाली एक प्रणाली है) और सहयोगी मंच है। इस प्लेटफॉर्म का उपयोग किसी परियोजना के स्रोत कोड को संग्रहित करने और उस कोड में किए गए सभी परिवर्तनों के संपूर्ण इतिहास को ट्रैक करने के लिए किया जाता है। यह कई डेवलपर्स द्वारा संभावित रूप से परस्पर विरोधी परिवर्तनों के प्रबंधन के लिए उपकरण प्रदान करके उन्हें एक परियोजना पर अधिक प्रभावी ढंग से सहयोग करने में सक्षम बनाता है। उपकरण साझा करने के इस लचीलेपन से सॉफ्टवेयर में हेरफेर की संभावना होती है। यह हैकर्स को संपूर्ण जावा-आधारित वेब सर्वर को नियंत्रित करने की छूट देता है। उसके बाद हैकर्स सिस्टम को नियंत्रिण करके ‘रिमोट कोड एक्जिक्यूशन’ हमला [आरसीई एक प्रकार का साइबर हमला है, जिसमें हैकर (या हमलावर) किसी व्यक्ति के कंप्यूटिंग डिवाइस पर दूरस्थ रूप से दुर्भावनापूर्ण कोड को निष्पादित कर सकता है।] शुरू कर सकते हैं।
Log4j की त्रुटी के मामले में, सुरक्षा पेशेवरों के लिए भी यह समझना बेहद मुश्किल हो सकता है कि क्या कोड उनके अनुप्रयोग (ऐप्लिकेशन) का हिस्सा था और यह मुख्य संभावित जोखिम है। कई विक्रेता अभी भी यह पता लगाने का प्रयास कर रहे हैं कि उनके उत्पाद प्रभावित हुए हैं या नहीं। पहले से ही एक डर है कि Log4j भेद्यता एक दीर्घकालिक समस्या हो सकती है।
ज्यादातर हमले क्रिप्टोकरेंसी माइनिंग [क्रिप्टोकरेंसी माइनिंग या क्रिप्टो माइनिंग, विश्व भर के कंप्यूटरों के विशाल और विकेंद्रीकृत नेटवर्क के उपयोग द्वारा ब्लॉकचेन (जो एक डिजिटल लेजर है और क्रिप्टोकरेंसी का रिकॉर्ड रखता है) के लेनदेन को सत्यापित और सुरक्षित करने की विधि है।) के इस्तेमाल पर किए गए हैं। पाबंदी लगाने के बाद भी हैकर्स किसी अन्य तरीके से सिस्टम में प्रवेश कर सकते हैं और ऐसा भी हो सकता है कि संगठन उनका पता लगाने में सक्षम न हो सके। इस प्रकार, हैकर्स कुछ महीनों तक कंपनी में होने वाली घटनाओं पर नजर रख सकते हैं और कंपनी के खिलाफ इसका उपयोग करने के लिए पर्याप्त जानकारी एकत्र कर सकते हैं। उनके द्वारा ऐसी किसी जानकारी का उपयोग संकटमय समय के दौरान किया जा सकता है जैसे कि एक इनिशियल पब्लिक ऑफरिंग [जब कोई कंपनी अपने सामान्य स्टॉक या शेयर पहली बार जनता के लिए जारी करती है तो उसे आइपीओ अथवा सार्वजनिक प्रस्ताव या इनिशियल पब्लिक ऑफरिंग (आईपीओ) कहा जाता है।] या रैंसमवेयर के माध्यम से व्यावसायिक विलय के समय। वे डेटा की चोरी भी कर सकते हैं और उसे प्रतिद्वंद्वियों को बेच सकते हैं। इससे पहले, डॉमिनोज, मोबिक्विक, अपस्टॉक्स, अनअकैडमी आदि जैसी कंपनियों के खिलाफ कई हमले किए गए थे, जिनका डेटा चोरी हो गया था और बेचने के लिए उसे डार्कनेट (यह इंटरनेट के भीतर एक छिपा हुआ, (ओवरले) नेटवर्क है, जिसे केवल विशेष सॉफ्टवेयर, नेटवर्क विन्यास या प्राधिकार के साथ ही एक्सेस किया जा सकता है।) पर डाल दिया गया था।
इस व्यापक खतरे की रोकथाम के लिए, अपाचे सॉफ्टवेयर फाउंडेशन ने Log4j और अन्य खुले सॉफ्टवेयर के साथ सिक्योरिटी पैच (यह सिस्टम ऐप्लिकेशन या सॉफ्टवेयर को एक कोड द्वारा अद्यतित करने की विधि है) विकसित किए हैं, जो लागू करने हेतु संगठनों के लिए उपलब्ध हैं। यद्यपि बड़े उद्यमों ने सुरक्षा उपाय को लागू किया है, तथापि छोटे विक्रेताओं द्वारा इसे लागू नहीं किया जा सकता क्योंकि वे इस यूटिलिटी [प्रायः सिस्टम के इष्टतम रखरखाव या संचालन से संबंधित एक सिस्टम ऐप्लिकेशन, जो किसी विशेष कार्य जैसे फॉरमेटिंग, कंप्रेसिंग, स्कैनिंग आदि करने के अलावा कंप्यूटर के प्रकार्यों और फाइलों के प्रबंधन में भी सहायता करता है।] का उपयोग प्लगइन के रूप में करते हैं और इसे हजारों सेवाओं के लिए एक सेवा के रूप में पेश करते हैं। जब तक छोटे विक्रेता अपने सिस्टम को सुरक्षित नहीं करते, उनके उपयोगकर्ताओं का डेटा सुरक्षित नहीं है।
अपने डेटा को सुरक्षित करने के लिए जब कंपनियां संकेत दें, तब उद्यमों को निश्चित रूप से केवल अपने डिवाइस, सॉफ्टवेयर और ऐप्लिकेशन को अपडेट कर लेना चाहिए। अमेरिकी सरकार ने प्रभावित कंपनियों को रैंसमवेयर और साइबर हमले के लिए हाई अलर्ट पर रहने की चेतावनी जारी की है।
साइबर सिक्योरिटी फर्म चेक प्वाइंट रिसर्च के विश्लेषण के अनुसार, भारत में लगभग 41 प्रतिशत कॉर्पोरेट नेटवर्क पहले ही इस लॉगिंग लाइब्रेरी के माध्यम से हैकर्स के कई हमलों का सामना कर चुके हैं। भारत के कमजोर साइबर सुरक्षा समाधानों को ध्यान में रखते हुए, देश हैकर्स के लिए एक सुभेद्य हॉट-स्पॉट (संवेदनशील स्थान) है।
© Spectrum Books Pvt Ltd.