Noi che ci occupiamo di web siamo alla continua ricerca di metodi e azioni che permettano di mantenere le reti e i dati dei nostri clienti al sicuro. L’ormai imprescindibile presenza di internet e l’utilizzo dell’informatica nelle nostre vite e nelle nostre attività quotidiane, deve garantire che esse siano al sicuro da attacchi provenienti dal web ed è dovere di chi opera in questi campi, mettere in atto tutte le strategie professionali e tecniche, affinché questo avvenga. Da esperto del settore da ormai oltre venticinque anni, sono rammaricato di leggere di vulnerabilità dei sistemi e di rischio per i dati degli utilizzatori della rete; la notizia a cui mi riferisco sta tenendo banco in questi giorni ed è una di quelle che fanno tremare Internet: si è evidenziata una vulnerabilità in una libreria di Apache chiamata Log4j 2! Ah sì? direte voi, ma il problema è serio perché questa falla permette di attaccare una quantità enorme di servizi Internet e di aziende. In sostanza, quasi tutti i server e i prodotti informatici che usano Java sono attaccabili per il solo fatto di ricevere dati da Internet, senza che il pericolo che veicolano abbia bisogno di credenziali di accesso alla rete interna.
A lanciare l’allarme è stata l’Agenzia per la Cybersicurezza Nazionale, che ha diramato un comunicato in cui si parla di una: “vasta e diversificata superficie d’attacco sulla totalità della rete Internet” ed è più grave di quanto non si possa immaginare. Scoperta per caso da un ricercatore di Alibaba, il colosso del commercio online cinese, la falla consente ai criminali di far girare qualsiasi programma sui server che utilizzano Java. Il problema è che è molto semplice farlo, basta infatti un comando inviato ad hoc da un qualsivoglia programma per la navigazione Web e il danno è fatto.
Appena la vulnerabilità è venuta a galla, sono partiti una quantità imprecisata di attacchi, con conseguenze che si evidenzieranno solo nel corso delle prossime settimane. Inizialmente la maggior parte delle fraudolenze scoperte era mirata a creare cripto valute, il resto al momento ha obiettivi sconosciuti. Secondo Microsoft e Sophos, sono già stati lanciati attacchi attraverso Log4Shell, che hanno compromesso le reti aziendali con l’installazione di malware o programmi utilizzati per rubare credenziali di accesso. Sicuramente molti di questi attacchi infiltreranno nei sistemi informatici dei ransomware, causeranno furti di dati segreti con attività di spionaggio industriale e tentativi di frodi finanziarie. Il pericolo era conosciuto da tempo tra gli addetti ai lavori ma gli attacchi diventano ogni giorno più sofisticati; l’unico aspetto positivo della faccenda, è che i primi colpiti erano del tutto ignari, ora le aziende stanno cercando di correre ai ripari.
Purtroppo l’abilità dei criminali è in grado di eludere anche i sistemi protettivi messi in atto; pare che a pochi giorni dall’inizio delle violazioni, gli hacker stiano utilizzando modi meno diretti per sfruttare la vulnerabilità ed eludere le barriere erette per bloccarne i tentativi di accesso da chi sta cercando di arginare i danni. In poche ore sono state scoperte decine di varianti nell’utilizzo della falla, create per rendere più difficile smascherare le intrusioni. Devo dire purtroppo che la colpa del disastro sta nelle fondamenta fragile del castello internet.
Chi non mastica programmazione e creazione di reti, con tutto quello che ne consegue in termini di funzionalità e sicurezza, forse non ha la percezione dell’entità del danno e del pericolo che ne consegue; vi chiederete: “come è possibile che una funzione operativa dal nome sconosciuto ai comuni mortali, sia la colpevole di quello che è stato definito dagli addetti al settore, una catastrofe senza precedenti? Mi spiego: Log4J 2 è una libreria sconosciuta ai non informatici ma nota a chi sviluppa software in Java, il linguaggio di programmazione più usato oggi al mondo nei prodotti per il Web; lo scopo della sua creazione è tenere traccia di quello che succede sui server, annotando in un file di testo ogni operazione compiuta: il logging. Questa operazione automatica è utilissima perché rende semplice trovare eventuali errori di programmazione, malfunzionamenti e abusi. Paradossalmente però, Log4J 2, programma scontato sviluppato in open source, viene controllato e gestito da un numero esiguo di sviluppatori per i quali non rientra tra le priorità. Il pasticcio brutto di questi giorni ha messo in evidenza che il logging, una delle attività più importanti e più critiche per la gestione di servizi Web e dei prodotti ad esso connessi del pianeta, viene svolta da una libreria gratuita e programmata a tempo perso da sviluppatori volenterosi.
Quello che fa paura e sta rubando il sonno a noi informatici, è che la falla in Log4Shell è solo la punta dell’iceberg; sono infatti molte le programmazioni di piccole funzioni utili e facili date per scontate da tutti, gestite da pochissime persone, se non addirittura da una sola. Chiudere le porte della stalla quando i buoi sono scappati non può essere il modo di operare di chi opera nell’informatica e i tristi fatti di questi giorni devono farci ragionare in termini di prevenzione, strategie di organizzazione del lavoro e messa in sicurezza dei dati come attività imprescindibile per chi opera nel settore IT.
Commenti recenti