Log4Shell: ongekende impact, harde lessen voor software-ontwikkelaars

32:06
 
Delen
 

Manage episode 314997847 series 2936180
Van Coen & Sander, ontdekt door Player FM en onze gemeenschap - copyright toebehorend aan de uitgever, niet aan Player FM. Audio wordt direct van hun servers gestreamd. Klik de abonneren-knop aan om updates op Player FM te volgen of plak de feed URL op andere podcast apps.

De afgelopen week heeft de kwetsbaarheid in Log4j de wereld op zijn kop gezet. Cybersecurity-experts vallen over elkaar heen om de impact van Log4Shell te duiden, de honeypots stromen over met Log4Shell gebaseerde aanvallen.
Allemaal door een Java module die het loggen van events in applicaties mogelijk maakt. Een open source module (library) die gebruikt wordt door zo'n beetje elke Java-applicatie. Het doel van Log4j is events loggen, maar de featureset blijkt nogal uitgebreid te zijn, er zitten features in die je niet direct zou verwachten en in de configuratie standaard zijn ingeschakeld.
De les die we kunnen trekken uit Log4Shell is dat ontwikkelaars wel erg makkelijk leunen op dit soort open source libraries, zonder exact te weten wat die libraries allemaal doen. Hierdoor kan een klein onderdeel van een applicatie, de complete infrastructuur van een bedrijf blootstellen aan gevaar van buitenaf. Remote code execution is uiteindelijk enorm gevaarlijk. Daarom kreeg Log4Shell een severity score van 10 uit 10.
We spreken in deze Techzine Talks met Coen Goedegebure, Founder and Managing Partner at Scyon. Hij houdt zich iedere dag bezig met cybersecurity, maar dan specifiek binnen software development. Hij is dus ideaal gepositioneerd om meer te vertellen over deze kwetsbaarheid, hoe je ermee om moet gaan en wat je kunt doen om richting de toekomst je applicaties zo veilig mogelijk te bouwen.

52 afleveringen