image

Minister: Log4j-alternatief niet nodig en geen realistische oplossing

woensdag 2 februari 2022, 16:33 door Redactie, 8 reacties

Er is geen reden om op zoek te gaan naar een alternatief voor Log4j. Een alternatief is niet per se veiliger en het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing, zo stellen ministers Yesilgöz van Justitie en Veiligheid en Adriaansens van Economische Zaken. De bewindslieden reageerden op Kamervragen van de VVD. Naar aanleiding van de Log4j-kwetsbaarheid vroeg VVD-Kamerlid Rajkowski of er betere alternatieven voor de loggingsoftware beschikbaar zijn.

"In geval van risico’s vanwege kwetsbaarheden, zoals die betreffende Log4j, is het van belang dat patches worden uitgevoerd of aanpassingen worden gedaan. Alle software kan kwetsbaarheden bevatten, zo ook Apache Log4j. De kwetsbaarheden in Log4j zijn snel opgelost: er is geen reden om op zoek te gaan naar een alternatief en een alternatief is niet per se veiliger", aldus de ministers. Die voegen toe dat het vervangen van dit soort software daarnaast zeer complex is en daarmee geen realistische oplossing.

Nog geen aangiften bij politie

Rajkowski wilde ook weten of er Nederlandse organisaties via de kwetsbaarheid zijn aangevallen. Daarop stellen Yesilgöz en Adriaansens dat de politie tot op heden geen aangiften heeft binnengekregen van aanvallen met betrekking tot het Log4j-lek. Ook zijn erop dit moment geen signalen dat overheidsorganisaties via de kwetsbaarheid succesvol zijn aangevallen.

Het Nationaal Cyber Security Centrum (NCSC) is wel bekend met kleinschalig misbruik van de kwetsbaarheid bij organisaties in Nederland. Het doel van de aanvallen is veelal financieel gewin. "Verwacht wordt dat kwaadwillenden de komende tijd naar kwetsbare systemen blijven zoeken en doelgerichte aanvallen uitvoeren; de Log4j-kwetsbaarheid wordt mogelijk een standaardonderdeel van aanvalsmethoden van actoren om toegang te krijgen tot systemen", leggen de bewindslieden verder uit.

Reacties (8)
02-02-2022, 20:49 door S.A.T.A.N.
Er is geen reden om op zoek te gaan naar een alternatief voor Log4j. Een alternatief is niet per se veiliger en het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing, zo stellen ministers Yesilgöz van Justitie en Veiligheid en Adriaansens van Economische Zaken.

Ik ben prettig verrast door deze demonstratie van down to earth inzicht.
02-02-2022, 21:45 door Anoniem
Dat is opzich positief! Hulde!
02-02-2022, 22:11 door Anoniem
Door Toine J.:
Er is geen reden om op zoek te gaan naar een alternatief voor Log4j. Een alternatief is niet per se veiliger en het vervangen van dit soort software is daarnaast zeer complex en daarmee een niet-realistische oplossing, zo stellen ministers Yesilgöz van Justitie en Veiligheid en Adriaansens van Economische Zaken.

Ik ben prettig verrast door deze demonstratie van down to earth inzicht.
Ik ook. Niet verwacht
03-02-2022, 07:52 door Anoniem
Ik dacht dat van Huffelen Digitale zaken in haar portefuille had? Zit die nog in de cursus 'Internet voor Dummies'?
03-02-2022, 10:02 door Anoniem
Ik denk simpelweg dat er iemand is die even een grove schatting gemaakt heeft van wat het de overheid zou gaan kosten om log4j overal te vervangen. Dan heb je geen "internet voor dummies" nodig
05-02-2022, 14:54 door Anoniem
Wat mij opvalt is dat het probleem van deze software met een cve rating van 10 bijna niet is uitgebuit. Zou het komen dat hiervoor bijna geen windows als basis wordt gebruikt?
08-02-2022, 18:53 door Anoniem
Twee maanden later is de crisis bezworen en heeft Gregory, samen met de kleine groep andere vrijwillige beheerders van Log4j, de problemen verholpen. "We hadden nooit verwacht dat dit op deze manier fout kon gaan”, zegt hij.

https://www.nrc.nl/nieuws/2022/02/07/developers-log4j-opgelucht-lek-in-logtool-zit-weer-dicht-a4084673


"Log4j wordt straks een van de standaard aanvalsmogelijkheden die gebruikt gaat worden om systemen binnen te dringen”, voorspelt NCSC-directeur Hans de Vries, waarschuwend tegen te veel optimisme.
09-02-2022, 11:31 door Anoniem
Door Anoniem: Wat mij opvalt is dat het probleem van deze software met een cve rating van 10 bijna niet is uitgebuit. Zou het komen dat hiervoor bijna geen windows als basis wordt gebruikt?
Experts zijn bang dat veel aanvallen wel degelijk succesvol zijn geweest, maar voornamelijk zijn gebruikt om backdoors te planten 'voor later', als de beheerders zo tegen de zomer weer een beetje over zijn gegaan tot de orde van de dag. Dat zou inhouden dat de grote golf van ellende nog gaat komen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.