Pubblicato il: 17-12-2021

Pubblichiamo questo articolo comunicandovi che la nostra Certification Autorithy non ha utilizzato e non utilizza Log4j

   

di Federico Cella e Alessio Lana - Corriere.it

L’Agenzia per la cybersicurezza italiana definisce la situazione  «particolarmente grave» e molte aziende non sanno come correre ai ripari

Da quando abbiamo scritto di Log4Shell, la vulnerabilità racchiusa nel programmino Log4J, sono  stati oltre 800 mila gli attacchi hacker che hanno sfruttato questa  debolezza in un software open source che è tra i cardini di molti siti web e in generale di servizi di Rete. Distribuita gratuitamente dalla Apache Software Foundation, Log4j è una  libreria che permette agli sviluppatori di creare dei log, ovvero di  registrare le attività del sistema così da intervenire quando serve. In  una parola, è ovunque.

Gli esperti di  sicurezza non usano mezze parole. L’Agenzia per la cybersicurezza  italiana parla di «una vasta e diversificata superficie di attacco sulla  totalità della rete», definendo la situazione «particolarmente grave»  mentre frasi come «peggiore vulnerabilità mai registrata» o «errore di progettazione di proporzioni catastrofiche» si susseguono senza sosta. Tutti, più o meno, ci sono dentro. Da Apple ad Amazon passando per LinkedIn, Cloudflare, Ibm, Twitter e Tesla l’elenco delle aziende che usano o hanno usato Log4j continua ad allungarsi.

Scoperta a fine novembre da un ricercatore di Alibaba, il colosso cinese dell’ecommerce e del cloud, la falla è semplice da sfruttare ma virulenta. Permette di inviare una stringa di codice sui server altrui per poi  eseguirlo da remoto. Dei criminali potrebbero quindi usarla per  diffondere malware, rubare dati o controllare l’intero sistema.

Il primo attacco di rilievo ha coinvolto Minecraft, o meglio Minecraft Java Edition (Qui viene spiegato come risolvere il problema). Diversi giocatori hanno iniziato a inviare stringhe di codice sulla  chat cercando di sfruttare la falla. Poi è stato il turno di Twitter con  alcuni utenti che hanno messo stringhe di caratteri al posto del nome. C’è poi chi ha cambiato nome al proprio iPhone. Tante prove che dimostrano come in tanti si stiano muovendo per capire bene come entrare da quella porta che sembra sempre più un portone. La  crescita è esponenziale: l’11 dicembre sono stati registrati 40 mila; il  12 dicembre 200 mila, il 13 dicembre 840 mila. Secondo Akamai ora si è  arrivati a 250 mila l’ora.

Aver reso pubblica la falla ha permesso di affrontarla più rapidamente ma ha pure attivato i cybercriminali. Capirne la portata, al momento, è  impossibile: Apache stessa dice che Log4j è così presente in tanti  software che non si può tracciarlo. L’unica certezza è la conferma data  da questa emergenza di come la struttura della Rete mondiale è traballante.  Perché stratificata senza un progetto unico negli anni, basando parte  dei propri protocolli su tanti piccoli software, magari vecchi di anni e  sviluppati perché funzionino — e lo fanno — senza particolare  attenzione alla sicurezza. Tema ora sempre più fondamentale ma che anni  fa non era listato tra le priorità. Si dice in questi casi di giganti  dai piedi d’argilla.

Negli ultimi giorni è scattata una sorta di guardia e ladri globale. Da una parte ci sono criminali che stanno cercando di sfruttare la  falla, dall’altra le aziende che corrono ai ripari. Ma non è così  facile. Le imprese più grandi e attrezzate stanno già distribuendo delle patch, dei correttori che dovrebbero almeno arginare la perdita e l’agenzia per la sicurezza olandese ha rilasciato la lista di tutto il software in pericolo.

Migliaia di altre piccole imprese però non sono in grado di intervenire.  «Per via del modo in cui questa libreria viene usata dai più diversi  software, non è facile per un utente capire se il software che sta usando utilizza o meno questa libreria», dichiara Nicholas Luedtke, Principal Analyst di Mandiant, «Se non si riesce a smarcare questo dubbio velocemente, diventa davvero difficile il poter applicare poi delle mitigazioni». La corsa contro il tempo intanto continua e gli effetti degli attacchi saranno chiari solo nei prossimi giorni.

   

| Articolo Originale |