LOG4J

शिवम पुंडीर, नई दिल्ली: Apache LOG4J: घातक Log4j से सावधान रहें। इस खराब सॉफ्टवेयर बग में आईटी (Information Technology) जगत का अधिकांश हिस्सा दहशत में है क्योंकि यह नए साल में हमारा अनुसरण करता है।

इसमें कोई शक नहीं, कई संगठन और एसएमबी (MMB) जिनके पास कोई आईटी कर्मचारी (IT Officer) नहीं है, वे इसके अस्तित्व के बारे में अनजान हैं। लेकिन Log4j की अनभिज्ञता (Ignorance) ही उन्हें हमले के प्रति अधिक संवेदनशील बनाती है। वे रक्षाहीन (Defenseless) रहते हैं।

Log4j कोड का एक बहुत ही सामान्य खंड है जो सॉफ़्टवेयर अनुप्रयोगों (Software Applications) को उनकी पिछली गतिविधियों पर नज़र रखने में मदद करता है। कोड लेखक समान कार्यों को डुप्लिकेट करने के लिए अधिक लॉगिंग (Logging) या रिकॉर्ड-कीपिंग प्रोग्राम (Record Keeping Program) बनाकर सॉफ़्टवेयर व्हील को फिर से शुरू करने के बजाय इस आवर्ती कोड (Recurring Code) पर भरोसा करते हैं।

इस महीने की शुरुआत में, साइबर सुरक्षा विशेषज्ञों ने पाया कि Log4j को दुर्भावनापूर्ण कोड की एक लाइन लॉग करने के लिए कहकर, Log4j प्रक्रिया में उस कोड को निष्पादित करता है। यह खराब अभिनेताओं को Log4j चलाने वाले सर्वर (Server) को नियंत्रित करने की पहुंच प्रदान करता है।

उस रहस्योद्घाटन ने लगभग हर बड़ी सॉफ्टवेयर कंपनी को संकट की स्थिति में डाल दिया। उन्होंने यह देखने के लिए अपने उत्पादों की खोज की कि क्या Log4j भेद्यता (Vulnerability) ने उन्हें प्रभावित किया है और यदि हां, तो वे छेद को कैसे ठीक कर सकते हैं।

यह भेद्यता एक बहुत बड़ी बात है। व्हाइट हाउस की पूर्व मुख्य सूचना अधिकारी (Chief Information Officer) और साइबर सिक्योरिटी कंसल्टेंसी फर्म (Cyber Security Consultancy Firm) फोर्टालिस सॉल्यूशंस (Fortalice Solutions) के सीईओ (Chief Executive Officer) थेरेसा पेटन (Theresa Payton) ने कहा कि Log4j को लगभग एक दशक हो गया है।

“इसे लॉग करने योग्य सभी चीजों की अपनी लाइब्रेरी के रूप में सोचें। हम संगठनों को [को] यह सब लॉग इन करने के लिए कहते हैं [as] आपको बाद में फोरेंसिक (Forensic) के लिए इसकी आवश्यकता हो सकती है। इसलिए Log4J का उपयोग अक्सर जावा डेवलपर्स (Developers) द्वारा किया जाता है, जब वे लॉग इन करना चाहते हैं कि एक व्यक्ति ने लॉग इन (Log In) किया है और इसका उपयोग एप्लिकेशन तक पहुंच को ट्रैक करने के लिए भी कर सकता है,” पेटन ने बताया।

यह भी पढ़ें: Apple M1 Chip: जानें फीचर्स और स्पेसिफिकेशन…

कई व्यवसायों को यह भी नहीं पता होगा कि क्या उन्होंने Log4j का उपयोग किया है, जिससे समस्या के दायरे को जानना और भी मुश्किल हो जाता है। उन्होंने कहा कि उन्हें पता लगाने के लिए, उन्हें उपयोग की तलाश करने के लिए विभिन्न प्रणालियों (Systems) के माध्यम से जाने और फिर संस्करणों को देखने के लिए एक सॉफ्टवेयर इंजीनियर (Software Engineer) की आवश्यकता होगी। “यह एक समय लेने वाली प्रक्रिया हो सकती है,” पेटन ने कहा, “और समय कुछ ऐसा है जो आपके पास नहीं है जब आप इन कमजोरियों का फायदा उठाने की कोशिश करने वाले बुरे अभिनेताओं के खिलाफ घड़ी के खिलाफ दौड़ रहे हैं।”

Apache LOG4J: हैकर्स के लिए पिछले दरवाजे


दुनिया भर के लाखों स्थानों में विभिन्न प्रकार के सुरक्षा हार्डवेयर प्रतिष्ठानों (Hardware Establishments) में उपयोग किए जाने वाले दरवाजे के लॉक के बारे में सोचें। दरवाजे के कुछ ताले में एक छोटे से स्प्रोकेट में एक ही भाग की विफलता (Failure) होती है जो लगभग किसी भी चाबी को ताला खोलने देती है। यदि आप संभावित विफलता के बारे में जानते हैं और प्रतिस्थापन कार्य करने के लिए उपकरण हैं तो अपना स्वयं का लॉक बदलना एक आसान समाधान है। दुनिया भर में ऐसा करना एक दुरूह (Unapprehensive) कार्य है। यही अवधारणा Log4j पराजय को इतना खतरनाक बनाती है।