Log4Shell-Lücke: Das sagen die Entwickler von Log4j

17. Dezember 2021, 16:39
image

"Ich war geschockt", meint der Schweizer Erfinder der Java-Bibliothek. Von unzähligen Gratis-Notfallstunden berichten aktuelle Entwickler.

Seit vor etwas mehr als einer Woche am 9. Dezember die kritische Schwachstelle Log4Shell öffentlich bekannt wurde, rotiert die IT-Welt. Wir haben seither über die "Alarmstufe rot" berichtet, die Cybersecurity-Behörden ausgerufen haben, über einen "Impfstoff" und die neuste Version von Log4j, welche die Apache-Foundation veröffentlicht hat. Heute, 17. Dezember meldete auch der Bundesfinanzhof, das oberste deutsche Finanzgericht, einen Hackerangriff via Log4Shell. Der Angriff sei abgewehrt worden, aber man habe die Website offline nehmen müssen.
Inzwischen haben sich auch aktuelle und ehemalige Entwickler von Log4j zu Wort gemeldet. Gegründet wurde das Projekt 1997 von Ceki Gülcü mit zwei Kollegen, als er im Forschungslabor von IBM in Rüschlikon an seiner Masterarbeit schrieb. "Ich stehe immer noch unter Schock", sagte Gülcü, der heute eine eigene Software-Beratungsfirma in der Westschweiz betreibt, gegenüber der 'NZZ' (Paywall). Von der Schwachstelle habe er erfahren, als sie allgemein bekannt wurde, und sofort gewusst, dass dies ein "Riesenproblem" sei.
image
Ceki Gülcü.

Zwanzig Jahre Freiwilligenarbeit für Log4j

"Ich betreute Log4j jahrelang in meiner Freizeit. Das kann ziemlich aufwendig sein, und es ist alles ehrenamtliche Arbeit", so Gülcü weiter zur 'NZZ'. "Es ist schwer zu sagen, wie viele Stunden Freiwilligenarbeit ich insgesamt in den Open-Source-Code gesteckt habe. Zehntausend? Zwanzigtausend? Jedenfalls ziemlich viel, zwanzig Jahre lang."
Mit Ralph Goers, "der später Log4j 2 entwickelt hat (…) gerieten zwei Weltanschauungen aneinander, er hat eine liberalere Einstellung zum Einbauen neuer Funktionen, ich bin ziemlich konservativ. 95% der Änderungsvorschläge lehne ich ab", sagte Gülcü. Deshalb habe Goers dann "auch sein eigenes Ding" gemacht und 2012 Log4j 2, den Nachfolger des ursprünglichen Log4j, auf Apache veröffentlicht.
Ralph Goers äusserte sich nach dem Bekanntwerden der Lücke ebenfalls kurz und erklärte auf der Apache-Website: "Der Umgang mit CVE-2021-44228 hat gezeigt, dass das Java Naming and Directory Interface (JNDI) erhebliche Sicherheitsprobleme aufweist." Sonst hielt er sich mit Wortmeldungen zurück. Auf seiner Github-Seite steht: "Ich habe derzeit einen Vollzeitjob als Software-Architekt. In meiner Freizeit arbeite ich an Log4j und anderen Open-Source-Projekten."

Es kostete "Unmengen schwarzen Kaffee"

Diese Freizeit wurde nun stark beansprucht. Gary Gregory, ein leitender Softwareingenieur bei Rocket Software und Freiwilliger bei der Apache Software Foundation, berichtete von den vielen Stunden und "Unmengen schwarzen Kaffee", die ihn die Arbeit an einem Log4j-Patch in den letzten Tagen gekostet habe.
Er sei mit Hunderten von Hilfeanfragen von Unternehmen überhäuft worden, sagte Gregory dem 'Wall Street Journal' (Paywall). Das Logging-Services-Team von Apache bestehe aber nur aus 16 unbezahlten Freiwilligen, die über fast jede Zeitzone der Welt verteilt sind. "Dies rückt das gesamte Problem mit Open-Source-Software und kommerziellen Benutzern in den Vordergrund. Die Erwartungen sind etwas aus dem Gleichgewicht geraten."
Volkan Yazıcı, ein Entwickler aus Holland, der ebenfalls freiwillig an Log4j mitarbeitet, schrieb auf Twitter: "Die Log4j-Maintainer haben ruhelos an Abhilfemassnahmen gearbeitet: Korrekturen, Dokumente, CVE, Antworten auf Anfragen usw. Doch nichts hält die Leute davon ab, uns zu beschimpfen, für eine Arbeit, für die wir nicht bezahlt werden, für eine Funktion, die wir alle nicht mögen, die aber aufgrund von Bedenken hinsichtlich der Abwärtskompatibilität beibehalten werden muss."

Log4j-Erfinder: "Ich hatte einfach Glück"

"Die letzten Wochen müssen für die Log4j-2-Entwickler schlimm gewesen sein", sagte auch Gülcü zur 'NZZ'. "Dass viele Leute gratis am Code arbeiten, den Firmen nutzen, um Milliarden zu verdienen, ist schon irgendwie unfair. Aber das ist eben das Prinzip von Open Source."
Bei der gravierenden Sicherheitslücke habe er zuerst gedacht: "Ha, ich hatte recht, all die Vorschläge abzulehnen. Doch ehrlich gesagt, hätte ich die Änderung, die den Fehler eingeschleust hat, vielleicht auch abgenickt. Dann wäre ich an der Stelle der Log4j-2-Entwickler. Ich hatte einfach Glück."

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

Beschluss für europaweit einheitliche E-ID gefasst

Die eIDAS-Verordnung der EU verpflichtet alle Mitgliedstaaten, eine einheitliche digitale Identität anzubieten. Europa scheint nicht aus den Fehlern der Schweiz gelernt zu haben.

publiziert am 7.12.2022 1