Sicherheitslücke Log4j

Laut FAZ sind 3 Milliarden Devices sind von der Log4J Sicherheitslücke betroffen. Really?

Genauer schreibt die FAZ: „Die Cyberkriminellen haben reichlich Ziele. Der verwundbare Baustein kommt in Web-Anwendungen und Apps zum Einsatz, die auf rund 3 Milliarden Computern laufen.“

So entstehen kapitale Falschmeldungen, die ein sowieso schon diffuses Problem noch ein bisschen diffuser werden lassen. Deshalb mal kurz zu den Fakten:

1. Log4J ist eine sehr beliebte Programmbibliothek, die von vielen Java-Programmierern benutzt wird, um Protokollierungsfunktionen in das eigene Programm einzubauen, ohne das Rad dafür neu erfinden zu müssen. Dabei geht es „schlicht“ nur darum, etwas, was gerade im Programm passiert, in eine Datei zu schreiben, damit man es später auswerten kann. So schreiben eben viele Anwendungen akribisch mit, was Benutzer so alles an Anfragen stellen oder in Datenfelder eingeben. Log4j vereinfacht diese Aufgabe, weil der Programmierer sich hier auf fertigen Programmcode abstützt und sich um die lästigen Details nicht kümmern muss. Doch gerade in den lästigen Details klafft bei Log4j die Sicherheitslücke. Da oftmals Daten protokolliert werden, die von außen an ein Programm angeliefert werden, kann ein Angreifer auf diese Weise mitbestimmen, was konkret protokolliert wird. Das ist im einfachsten Fall z.B. der Inhalt einer Benutzereingabe, der mitgeschrieben werden soll. Und wenn der Angreifer es so schafft, bestimmte Texte protokollieren zu lassen, dann kann er die Texte so gestalten, dass der Programmcode in Log4j beliebigen weiteren Javacode aus dem Internet nachlädt und ausführt. Das ist im übrigen kein Fehler sondern genau so gewollt. Es hat nur niemand darüber nachgedacht, welches Sicherheitsproblem sich daraus einmal ergeben kann.

Wichtig aber ist, man kann Log4J in seinem eigenen Javaprogramm verwenden, muss es aber nicht. Es gibt keine Notwendigkeit dafür außer man möchte das Rad nicht neu erfinden.

2. Java ist eine universelle Programmiersprache, die unter der Lizenz von oracle Inc. steht und frei verwendet werden kann. In dieser Sprache lässt sich praktisch alles programmieren, nicht nur Web-Anwendungen und Apps.

3. Oracle behauptet auf seiner Webseite, dass Java auf mehr als 3 Milliarden Devices eingesetzt wird, sprich Javaprogramme darauf laufen.

4. Angreifbar sind nicht die Devices sondern die darauf laufenden Programme, und auch nur, wenn sie Log4j nutzen. Das können also auch 15 auf einem Device sein, wenn es schlecht läuft oder 0 im günstigsten Fall.

In der Konsequenz gibt es also überhaupt keine Korrelation zwischen den 3 Milliarden Devices, auf denen irgendwas mit Java läuft und der Anzahl der angreifbaren Programme. Eine Abschätzung dieser Art ist vollkommen aus der Luft gegriffen und zeigt nur, dass die Autoren den Kern des Problems gar nicht begriffen haben.

Hier ist der Artikel nachzulesen: https://www.faz.net/aktuell/wirtschaft/digitec/sicherheitsluecke-log4j-was-spricht-fuer-und-gegen-freie-software-17684344.html