il commento

Log4J è una catastrofe che sconteremo per anni: le prospettive

Uno dei peggiori bug degli ultimi anni. Per molto tempo causerà danni. Ecco perché. Ma sulle minacce cyber sembra una continua corsa al rialzo. Dovrà passare tempo perché dallo stato di emergenza continua, che stiamo vivendo soprattutto dall’anno scorso (con il covid-19), si passerà a una fase di gestibile pericolo

Pubblicato il 18 Dic 2021

Alessandro Longo

Direttore agendadigitale.eu

log4

Ma quanti hanno capito davvero che Log4j sarà un flagello che sconteremo per anni e anni a venire? Gli esperti, almeno, ne sono abbastanza certi. Per anni si scopriranno exploit e data breach avvenuti per colpa di questa vulnerabilità, dicono ad esempio quelli di Mandiant.

Perché ci vorrà molto a coprire la falla Log4J

Sì, è vero, sono uscite patch per Log4J, di Apache. Ma non è così facile. Per prima cosa parliamo di un pezzo software molto comune, nelle reti aziendali in tutto il mondo. Gira su Java serve a mantenere un log delle attività. È usato da software di sicurezza, siti web, software di backend  e di rete. È ovunque. E molte aziende nemmeno sanno di usarlo e dove lo usano di precisione.

Ha inoltre un bug molto brutto, una sorta di errore nel modo in cui funziona il software di logging: permette a un malicious actor di eseguire software sul server, dove gira Log4J, senza il permesso della persona che gestisce quel server.

Software per rubare dati, installare ransomware, minare criptovalute (tra gli exploit già identificati).

Log4j, scoperta seconda vulnerabilità dopo Log4Shell: urgente installare la nuova patch

Una patch difficile

Ecco, ci sono già esempi di exploit (Log4Shell), ma è solo l’inizio. Il problema è che Log4j è inserito in tantissimi prodotti. Quindi, tutte le aziende che fanno prodotti che usano Log4j devono ora installare quella patch e farla installare ai loro clienti. Twitter, uno dei soggetti colpiti, è un caso più facile: con il proprio dipartimento IT installerà la patch sui server.

Ma diventa complicato per una società come Cisco.

  • Cisco sta indagando su più di 150 dei loro prodotti che sembrano utilizzare Log4j, e sta cercando di capire quali di loro erano effettivamente vulnerabili a questo attacco.
  • Dopo che l’hanno capito, devono rilasciare una patch.
  • Devono testarla, assicurarsi che non abbia problemi.
  • Distribuirla ai loro clienti.
  • Non è finita: i loro clienti devono installarla.

Quindi è un processo lungo e complicato, e questo fornisce un sacco di opportunità per gli hacker di entrare.

Log4j, i timori degli esperti

Ecco perché un esperto come Tom Kellermann, capo della strategia di sicurezza informatica di VMware, ha detto che la vulnerabilità Log4j è una delle peggiori che ha visto nella sua carriera – e una delle vulnerabilità più significative mai esposte.

La sua principale preoccupazione è che venga sfruttata con un worm, un pezzo di codice polimorfico in grado di diffondersi su internet. Si teme una nuova Wannacry, che può paralizzare aziende, ospedali, strutture critiche, centrali dell’energia elettrica.

Tanto più che ci sono i primi segnali – da Mandiant, Microsoft – che alcuni noti gruppi APT legati a Cina, Iran stanno cominciando a sfruttare la vulnerabilità. Per cosa? Forse per spionaggio. Ci sono insomma anche ricadute geopolitiche. Log4 potrebbe spingere ancora di più i Paesi sul sentiero, già imboccato, di una maggiore collaborazione sulla cybersecurity ed eventualmente accordi di limitata belligeranza con Cina, Russia, Iran.

Che fare quindi? Le aziende devono fare al più presto i compiti a casa, su Log4Shell (vedi articolo sotto).

Come proteggersi dalla minaccia Log4Shell

Ma non basta. Questi casi sono destinati a diventare sempre più frequenti e disastrosi finché non crescerà la maturità cyber di aziende e Stati. Un percorso avviato, anche in Italia con l’Agenzia cyber, ma che sembra sempre, ancora, troppo lento.

Forse le cose peggioreranno ancora per un po’, sulle minacce cyber, prima di normalizzarsi. Allora dallo stato di emergenza continua, che stiamo vivendo soprattutto dall’anno scorso (con il covid-19), si passerà a una fase di gestibile pericolo.

Baldoni: “Così l’Agenzia cyber sta lavorando e dispiega i propri effetti”

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati