Ma quanti hanno capito davvero che Log4j sarà un flagello che sconteremo per anni e anni a venire? Gli esperti, almeno, ne sono abbastanza certi. Per anni si scopriranno exploit e data breach avvenuti per colpa di questa vulnerabilità, dicono ad esempio quelli di Mandiant.
Perché ci vorrà molto a coprire la falla Log4J
Sì, è vero, sono uscite patch per Log4J, di Apache. Ma non è così facile. Per prima cosa parliamo di un pezzo software molto comune, nelle reti aziendali in tutto il mondo. Gira su Java serve a mantenere un log delle attività. È usato da software di sicurezza, siti web, software di backend e di rete. È ovunque. E molte aziende nemmeno sanno di usarlo e dove lo usano di precisione.
Ha inoltre un bug molto brutto, una sorta di errore nel modo in cui funziona il software di logging: permette a un malicious actor di eseguire software sul server, dove gira Log4J, senza il permesso della persona che gestisce quel server.
Software per rubare dati, installare ransomware, minare criptovalute (tra gli exploit già identificati).
Log4j, scoperta seconda vulnerabilità dopo Log4Shell: urgente installare la nuova patch
Una patch difficile
Ecco, ci sono già esempi di exploit (Log4Shell), ma è solo l’inizio. Il problema è che Log4j è inserito in tantissimi prodotti. Quindi, tutte le aziende che fanno prodotti che usano Log4j devono ora installare quella patch e farla installare ai loro clienti. Twitter, uno dei soggetti colpiti, è un caso più facile: con il proprio dipartimento IT installerà la patch sui server.
Ma diventa complicato per una società come Cisco.
- Cisco sta indagando su più di 150 dei loro prodotti che sembrano utilizzare Log4j, e sta cercando di capire quali di loro erano effettivamente vulnerabili a questo attacco.
- Dopo che l’hanno capito, devono rilasciare una patch.
- Devono testarla, assicurarsi che non abbia problemi.
- Distribuirla ai loro clienti.
- Non è finita: i loro clienti devono installarla.
Quindi è un processo lungo e complicato, e questo fornisce un sacco di opportunità per gli hacker di entrare.
La stranezza di Log4J, gestito da volontari, spia di un problema più grande
Nella storia di Loj4J e del suo bug c’è un lato curioso. Almeno, lo è per chi non è consapevole di quanto sia comune e rilevante l’apporto dell’open source. Già perché per qualcosa di così importante come Log4j, ci si potrebbe aspettare che le più grandi aziende tecnologiche e i Governi del mondo abbiano assunto centinaia di esperti pagatissimi per rattoppare rapidamente la falla.
E invece Log4J è nato come un progetto open gestito da volontari in gran parte gratis e senza alcun riconoscimento per chi ci lavoro.
Questa strana situazione è comune nel mondo del software open-source. Come scrive il Mit Technology Review commentando la vicenda, “quando va bene, l’open-source è un trionfo collaborativo. Quando va male, è un pericolo di vasta portata”. Gli attuali modelli di “bug bounty”, che pagano esperti esterni per analizzare il software e trovare i difetti, non sono utili in questi casi perché gli esterni non hanno l’incentivo finanziario per sviluppare la conoscenza profonda necessaria per quel tipo di software open.
La sfida sarà potenziare modelli alternativi – che già ci sono, ad esempio l ‘Open Source Technology Improvement Fund di Google, con audit e analisi di criticità- per la sicurezza dei software open.
Log4j, i timori degli esperti
Ecco perché un esperto come Tom Kellermann, capo della strategia di sicurezza informatica di VMware, ha detto che la vulnerabilità Log4j è una delle peggiori che ha visto nella sua carriera – e una delle vulnerabilità più significative mai esposte.
La sua principale preoccupazione è che venga sfruttata con un worm, un pezzo di codice polimorfico in grado di diffondersi su internet. Si teme una nuova Wannacry, che può paralizzare aziende, ospedali, strutture critiche, centrali dell’energia elettrica.
Tanto più che ci sono i primi segnali – da Mandiant, Microsoft – che alcuni noti gruppi APT legati a Cina, Iran stanno cominciando a sfruttare la vulnerabilità. Per cosa? Forse per spionaggio. Ci sono insomma anche ricadute geopolitiche. Log4 potrebbe spingere ancora di più i Paesi sul sentiero, già imboccato, di una maggiore collaborazione sulla cybersecurity ed eventualmente accordi di limitata belligeranza con Cina, Russia, Iran.
Che fare quindi? Le aziende devono fare al più presto i compiti a casa, su Log4Shell (vedi articolo sotto).
Ma non basta. Questi casi sono destinati a diventare sempre più frequenti e disastrosi finché non crescerà la maturità cyber di aziende e Stati. Un percorso avviato, anche in Italia con l’Agenzia cyber, ma che sembra sempre, ancora, troppo lento.
Forse le cose peggioreranno ancora per un po’, sulle minacce cyber, prima di normalizzarsi. Allora dallo stato di emergenza continua, che stiamo vivendo soprattutto dall’anno scorso (con il covid-19), si passerà a una fase di gestibile pericolo.
Baldoni: “Così l’Agenzia cyber sta lavorando e dispiega i propri effetti”
