ביום חמישי, 9 בדצמבר 2021, הודיעה החברה שמפעילה את מיינקראפט - משחק מחשב פופולרי שבבעלות מיקרוסופט - על חולשת אבטחה חמורה במערכותיה ועל צורך בעדכון. לא כל המשתמשים היו פגיעים לחולשה, אך עם למעלה מ-140 מיליון שחקניות ושחקנים בכל העולם, גם מיעוט קטנטן זה די הרבה. חולשת האבטחה הייתה למעשה פירצה במוצר "קוד פתוח" שהמשחק עושה בו שימוש – ספריית רישום לוגים בשם LOG4J המתוחזקת על ידי קרן אפאצ'י. תוך זמן קצר התגלה כי מיינקראפט אינה היחידה שמשתמשת במוצר הזה - מדובר באיום משמעותי הרבה יותר.
"המעבר מחולשה במיינקראפט להתקפות רחבות היקף היה כ-18 שעות", נזכר גיא ברנהרט-מגן, שותף-מייסד וסמנכ"ל טכנולוגית בחברת אבטחת המידע פרופרו (Profero). "כבר בשישי בצהריים התחלנו לראות התקפות אצל לקוחות שלנו, בעיקר כריית ביטקוין. העולם הבין מה קורה איפשהו בשישי-שבת, ואז זה התפוצץ".
החולשה ב-LOG4J מאפשרת להריץ על שרתים קוד זר וכך להוציא לפועל מתקפות מסוגים שונים: מניצול כוח החישוב של מכשירים ושרתים זרים עבור כריית קריפטו, דרך השתלטות לצרכי כופר ושימושים שונים לפשיעה ועד לריגול ותקיפה של גורמים פוליטיים ומדיניים. בין החברות והשירותים שדווח כי הושפעו מחולשת האבטחה: אמזון, טסלה, טוויטר, אפל, טנסנט. אמצע דצמבר, רגע לפני חופשות החגים, אלפים נדרשו לעבוד סביב השעון על מנת למנוע מתקפות ופגיעות חמורות או לחלופין לטפל בנזק שכבר נגרם.
"אתה אולי מצפה שזו תהיה קהילה ענקית, אבל לא, מדובר בכמה חבר'ה שכתבו את הקוד של LOG4J. הם נערכו לחג, היו עם המשפחה, ונדרשו להוציא תיקון אחרי תיקון"
עוצמת הפגיעה והחומרה שלה הביאו לשיתוף פעולה כמעט חסר תקדים בין קהילת הסייבר, גורמי ממשל וביטחון, ענפים שונים בתעשייה והמגזר השלישי. כל אלה התמודדו יחד עם הפגיעה, עם ההתקפות האפשריות ועם אלו שהתרחשו בפועל, במאמץ רחב היקף שמעלה באוב את התיאומים סביב "באג 2000".
בחברת אבטחת המידע צ'ק פוינט ראו עד כה יותר מ-25 מיליון ניסיונות לנצל את חולשת האבטחה. הניסיונות האלה כוונו כלפי יותר מחצי מכלל הרשתות הארגוניות בעולם. בישראל המספר אפילו גבוה יותר - כמעט 58% מהארגונים חוו ניסיון תקיפה לניצול החולשה. לצד הנזק הראשוני והמיידי, שעיקרו כריית קריפטו פושעת, גם את רבבות שעות האדם שהוקדשו לתיקון והגנה מפני ההתקפה ניתן לכמת לכדי נזקים בשווי מיליונים. הנזק לאורך זמן הוא וקטור התקפה שעודו שריר וקיים. לא לכל מערכת וארגון היכולת לתקן ולשדרג את התשתיות באופן מיידי, חלק יתעכבו, חלק לא יעשו זאת כלל, עד שיהיה מאוחר מדי.
של מי השורה הזאת בכלל
חלק מהמורכבות ומהחומרה של החולשה נובע מהסיבוכיות במערכות המחשוב בהן אנו משתמשים, כולנו. תארו לכם: ארגון פלוני רוכש ומתקין תוכנת ניהול לקוחות, ניהול חשבונות או כוח אדם; הוא לא יודע אם התוכנה כוללת אלמנטים זרים או נסמכת על מערכות זרות, ואולי אלו נסמכות גם הן על מערכות זרות נוספות. גורמים רבים נדרשו לדילמה קשה – האם לסרוק את כל המערכות ולאתר את אלו שעושות שימוש במוצר הפגיע על מנת לתקן בעיות כירורגית, בעוד המשתמשים "באוויר", או להשבית מערכות שלמות כל עוד החשיפה לנזק אינה ידועה. סכומי עתק ומערכות שעשויות להיות קריטיות על הפרק, שלא לדבר על שעות נוספות וחופשות חג המולד והשנה החדשה של כל הנוגעים בדבר. כעס ותסכול אדיר הצטברו במהרה ואצבע מאשימה הופנתה – מי לעזאזל אחראי לפירצה הזו? מי כתב את הקוד הזה? איך זה קרה?
כך נחשפה, בפעם המי-יודע-כמה, הבטן הרכה של תעשיית הטכנולוגיה – הקוד הפתוח. ספריית הלוגים הפופולרית LOG4J, זו שבשימוש על ידי תאגידי ענק גלובליים, גורמים ציבוריים ופרטיים בכל העולם וגורמי ממשל מדינתיים (שלא לומר צבא וביון), זו שבה נמצאה חולשת אבטחה, פותחה ומתוחזקת בהתנדבות. צוות של 5-10 אנשים פועל תחת קרן אפאצ'י ותורם מזמנו מעת לעת על מנת לשפר ולתחזק את המוצר. הם לא זוכים להכרה מצד שלל הגורמים שעושים שימוש בקוד שפיתחו – חינם-אין-כסף – כי ככה זה, קוד פתוח. אבל כשיש בעיה – כולם מצאו מהר מאוד אל מי לפנות, את מי להאשים.
"דיברנו עם החבר'ה האלה", מספר ברנהרט-מגן, "אתה אולי מצפה שזו תהיה קהילה ענקית, אבל לא, מדובר בכמה חבר'ה שכתבו את הקוד של LOG4J. הם נערכו לחג, היו עם המשפחה, ונדרשו להוציא תיקון אחרי תיקון, בלא תשלום".
קוד "פתוח", שמפותח ומתוחזק בהתנדבות וזמין לכל דורש ולכל שימוש בחינם, הוא התשתית למגוון כלים ושירותים שכולנו עושים בהם שימוש יום-יומי. האלמנט ההתנדבותי משחרר משלל אילוצים כמו הספק, דדליינים או גמול כספי, כי אין. הקהילה המקצועית המעורבת והמעורה, נזכיר שוב – בהתנדבות, היא שמספקת בקרת איכות על הקוד שנכתב, שעם השלמתו מוצע להורדה ולשימוש על ידי כל גורם המעוניין בכך בלי קשר למטרת השימוש – ציבורית או פרטית, מוסד ללא כוונת רווח או חברה מסחרית.
עוד חשוב לציין שכל גורם יכול ומוזמן להשתלב בפיתוח - להציע הוספה של שיפורים, תיקונים, עדכונים. אך לא כל הגורמים שעושים שימוש במוצרי הקוד הפתוח תורמים בחזרה – לא תרומה כספית לעמותה המנהלת של הפרויקט וגם לא תרומה של ידע. ארגונים רבים לוקחים את הקוד הפתוח הקיים, מבצעים עליו עדכונים ותיקונים אך שומרים את אלו פנימית, לא מחזירים את הקוד המשופר כתרומה, בחזרה לקהילה.
החברות לא תורמות בחזרה
לדברי ברנהרט-מגן, "עולם הקוד הפתוח אינו מובן היטב ברמה התאגידית. כולם מאוד שמחים להיעזר בקוד פתוח, אבל לא תורמים בחזרה. ארגון משתמש בקוד פתוח, מחזק אותו, משפר אותו, אבל לא משחרר את הקוד המשופר בחזרה לקהילה. לרוב זה נובע מסוגיות משפטיות של חשיפה. החברה נהנית מהקוד הפתוח, בונה את המוצר שלה על בסיס קוד פתוח. מרוויחה כסף. אבל המפתחים המקוריים של הקוד לא מקבלים כסף, גם לא הכרה. לא לוקחים את השיפורים שנעשו ותורמים אותם בחזרה לקהילה". כל זה לא הפריע, כאמור, להפנות אצבע מאשימה כלפי המתנדבים. "יצאו מתקפות פרסונליות על האנשים שכותבים קוד פתוח, על הקהילה שתורמת, זה מצב מטורף", אומר ברנהרט-מגן.
פירצת LOG4J באה לאחר שנה של מתקפות סייבר חמורות, בהן מתקפת SolarWinds בדצמבר 2020 והמתקפה על צינור הנפט קולוניאל פייפליין שערערה את הביטחון באספקת דלק בארה"ב במאי 2021. הרגישות הזאת גרמה לבית הלבן להתייחס באופן רשמי ומיידי לנושא: היועץ לביטחון לאומי ג'ייק סאליבן שלח מכתב לראשי תאגידי הטכנולוגיה שבו הוא מתייחס לשימוש הנפוץ בקוד פתוח, המופעל ומתוחזק בהתנדבות, בתור "חשש מרכזי לביטחון הלאומי".
ב-13 בינואר כונסה בבית הלבן ועידה בנושא בהשתתפות גורמי ממשל, תעשייה וקרנות הקוד הפתוח. כולם הכירו בסכנת החולשה הנוכחית שנחשפה ובחשיבות האסטרטגית של קוד פתוח. כולם רוצים למנוע פריצות ופגיעות, לייעל את תהליך איתורן ולצמצם את זמן התגובה למימוש והפצת תיקונים. אבל מי יממן את כל זה? איך זה יקרה?
השלכות גיאו-פוליטיות
האירוע זכה לתשומת לב הבית הלבן ומערך הביטחון הלאומי לא רק בגלל ההשלכות הרוחביות על התעשייה - כלכליות, משפטיות ומבניות - אלא גם מסיבות גיאו-פוליטיות. החולשה ב-LOG4J נחשפה לראשונה ב-24 בנובמבר על ידי צ'ן זייג'אן, חוקר אבטחת מידע בחטיבת הענן של ענקית הטכנולוגיה הסינית עליבאבא. זייג'אן דיווח על כך באופן מיידי ישירות לקרן אפאצ'י ובזכות הדיווח החל הצוות המתנדב לפתח פתרון.
ב-9 דצמבר עדכן זייג'אן כי הפירצה כבר מדוברת בפורומים סיניים ציבוריים – הווה אומר שהיא פומבית ושניצול לרעה הוא רק עניין של זמן - וכך החיש את התיקון והעדכון הפומבי מצד אפאצ'י. קרן אפאצ'י אמנם מעניקה שירותים לכל דורש בעולם, אך מדובר במוסד אמריקאי. ב-24 בדצמבר הקפיאה ממשלת סין את שיתוף הפעולה עם חטיבת הענן של עליבאבא. הסיבה: הפירצה דווחה ישירות לאפאצ'י ולא ראשית ולפני הכל לממשל הסיני, כנדרש.
אירוע LOG4J רחוק מלהיות מאחורינו, ולפי ברנהרט-מגן, הוא ככל הנראה יישאר וקטור תקיפה פוטנציאלי בעתיד הנראה לעין: "אנחנו רואים כל הזמן ניסיונות ניצול של המתקפה ומקרים שבהם היא גם הצליחה. אני מנחש שנראה בהמשך התקפות שלמות שבהן וקטור הכניסה לארגון מבוסס על LOG4J. אנחנו עדיין בשלב הראשון, בסופו של דבר זה עוד כלי בארגז הכלים של התוקפים".