Log4j: conheça a brecha que colocou em risco a segurança de milhões de dados



O Log4j é mundialmente conhecido na área da tecnologia e usado por ser acessível e gratuito. Apesar da fama, o sistema de código aberto fechou 2021 com popularidade negativa, já que se tornou uma ameaça à segurança de milhões de dados e dor de cabeça para muitas empresas que utilizam a ferramenta.

Isso porque uma falha de segurança foi identificada em dezembro e colocou em risco dados de grandes empresas como Apple, Twitter, Steam, Amazon e Minecraft. 

Mas, o que é Log4j? Qual foi a brecha que deixou tantos dados vulneráveis? Saiba mais detalhes sobre o assunto abaixo:

Afinal, o que é Log4j? 

O Log4j é uma biblioteca de software de responsabilidade da Apache, uma organização sem fins lucrativos que, por meio da ferramenta, ajuda desenvolvedores a fazerem o ‘logging’, um processo que permite guardar registros de interações, envio de informações, processamento de dados e resultados de uma determinada ação.

Esse logging possibilita que o registro seja guardado para analisar o comportamento de uma aplicação ou acompanhar as mudanças feitas durante o desenvolvimento do programa.

 

É usado em quase todos os projetos Java. Conforme informações do Google, mais de 35 mil pacotes Java, o que representa mais de 8% do repositório Maven Central (o principal repositório Java), foram afetados pelo problema. 

Riscos à segurança

As brechas permitem que o invasor remoto não autenticado realize um ataque ao sistema, dando acesso a partes importantes dos aplicativos. Uma das falhas que ocorreram possibilitou aos agentes maliciosos obterem dados confidenciais e enviar arquivos para um servidor de e-mail, usando o Log4j para executar códigos maliciosos em máquinas de forma remota.


Em 27 de dezembro a Apache disponibilizou uma nova versão da biblioteca, 2.17.1, arrumando a última das cinco falhas que ocorreram, desta vez na execução de código remoto detectada na versão anterior. Um relatório completo sobre a falha já foi publicado e para proteção dos usuários, a Apache recomenda a atualização imediata, que corrige a vulnerabilidade.


Mesmo com as frequentes correções lançadas, a cada dia novas variações são descobertas. Segundo dados da Check Point Research, já são mais de 4 milhões de incidentes registrados no mundo, com metade das redes empresariais do Brasil afetadas.

Apesar da orientação da Apache, o engenheiro de computação, professor universitário e um dos diretores da T2S Tecnologia, Ricardo Pupo Larguesa, alerta que uma atualização às pressas pode ser um caminho pior a ser percorrido, tendo como alternativa optar por uma versão anterior, mais estável e segura.


Segundo Ricardo Pupo a atualização de bibliotecas deveria ser feita somente após um tempo de maturidade. “Hoje em dia, as atualizações são muito frequentes e sujeitas a esse tipo de falha. No caso do Log4j, os relatos apontam para a versão 2.15, que é de 6 de dezembro”, explica. 


Diz também que toda atualização requer uma criteriosa análise de uso e são precavidos aqueles que as fazem primeiro em projetos menos críticos até que se tenha a maturidade comprovada antes de migrar para projetos mais complexos.


Lições que ficam 

As empresas precisam estar atentas e se preocuparem mais em ter ou contratar uma equipe de Tecnologia da Informação (TI) qualificada para atender e monitorar as demandas. Assim será possível prever cenários e agir de forma imediata diante de situações como essa.

Mas, parte das instituições ainda não enxergam a cibersegurança como um investimento, sendo que os prejuízos que podem ser obtidos com as falhas são muito maiores que a contratação. Isso vale para companhias  de diferentes portes e segmentos, inclusive do setor portuário.

Para os diretores da T2S Tecnologia e professores universitários, Ricardo Pupo Larguesa e Rodrigo Lopes Salgado, pensar na segurança dos dados, assim como na  Lei nº 13.709/2018, que é a Lei Geral de Proteção de Dados Pessoais (LGPD) não é mais uma opção ou diferencial e sim uma ação necessária.


“A preocupação de garantir a segurança dos clientes é diária e as empresas que ainda não possuem estratégias específicas voltadas à área de cibersegurança precisam iniciar 2022 pensando nessa questão, levando em conta, principalmente, o avanço cada vez maior da tecnologia no Brasil, impulsionado pela pandemia da covid-19”, conclui Ricardo Pupo.

Comentários