Log4Shell, la vulnerabilità Java che fa tremare Internet, ha fatto parlare alcuni esperti di una potenziale “Apocalisse informatica”.
È stata scoperta da Alibaba a novembre nel videogioco Minecraft, e ora si sta correndo ai ripari.
Calma, ci sono troppe parole da spiegare: Log4Shell, Java, Alibaba, Minecraft. E soprattutto, cosa sta accadendo di così rischioso per la Rete? Al punto da far dire che si tratta di “una delle peggiori vulnerabilità di Internet di sempre”?
Proviamo a mettere un po’ d’ordine, rispondendo a tutti i dubbi e le domande che questa notizia può aver suscitato.
Log4Shell, la vulnerabilità Java scoperta su Minecraft
Partiamo da Minecraft. Ovvero da un videogioco Microsoft di grande e duraturo successo, lanciato nel 2011.
Passiamo ora ad Alibaba. Lo scorso 24 novembre gli analisti del colosso cinese hanno scoperto una falla in Log4j, una utility Java di Apache, proprio nel celebre gioco Microsoft.
Log4j e Log4Shell: cosa sono
Ma cos’è Log4j? Si tratta di un tool open source (ovvero con codice non proprietario) sviluppato da Apache, usato da moltissimi programmatori di software con linguaggio Java.
Java è il linguaggio di programmazione più usato al mondo, per un’enorme quantità di programmi e applicazioni.
Log4j consente di scrivere nel software i cosiddetti log, ossia gli status del software stesso. Ciò permette di seguire lo sviluppo del software, registrando stati di avanzamento, performance, problemi e soluzioni. La cronistoria del software, insomma.
Ecco che gli esperti di Alibaba hanno scoperto una vulnerabilità nei log, chiamata Log4Shell. Che consente a eventuali malintenzionati di far eseguire alla macchina le operazioni che desidera.
Ad esempio? Lo spiega ai colleghi di Agi Marco Ramilli, amministratore delegato di Yoroi: “Qualsiasi cosa. In questo momento quello che vediamo è che gli attaccanti usano questa vulnerabilità per fare attività di mining di criptovalute” (cioè l’operazione che consente di creare criptomonete). “Ma potrebbero fare qualsiasi cosa: entrare nei server di un’azienda, vedere quello che c’è dentro, rubare segreti industriali oppure decidere di sferrare degli attacchi ransomware per monetizzare il proprio controllo dei sistemi”.
I rischi
I rischi sono elevatissimi perché, sintetizzano gli esperti, “se usi Java probabilmente usi Log4j”.
Log4j gira su 3 miliardi di dispositivi. È distribuita su milioni di server in tutto il mondo, coinvolge colossi del calibro di Amazon, Apple, Microsoft e Twitter.
Insomma: la vulnerabilità Log4Shell è un potenziale rischio per la sicurezza dei server delle reti aziendali e governative. Ma anche pressoché per tutti i computer e i dispositivi mobili in circolazione. Per questo alcuni hanno parlato di una potenziale “Apocalisse informatica”.
Per Ramilli, la soluzione alla vulnerabilità è una corsa contro il tempo. Infatti “hacker malevoli potrebbero diffondere link corrotti e aprire tramite questa vulnerabilità delle backdoor sui dispositivi delle persone, telefoni, tablet, qualsiasi oggetto connesso alla rete. E una volta aperta una backdoor, uno può fare quello che vuole.”
Gravità massima
In una scala da 1 a 10, la gravità della vulnerabilità Log4Shell è stata valutata di grado 10. E classificata come “una delle peggiori debolezze informatiche scoperte negli ultimi anni”.
A farlo è stata la Apache Software foundation, l’organismo non profit che dal 1999 sviluppa progetti software open source.
Le dichiarazioni
Intanto Adam Meyers, vice-presidente di Crowdstrike, società statunitense di cybersicurezza, ha detto: “Internet è in fiamme in questo momento: i tecnici si stanno affannando per riparare i server mentre altri, malintenzionati, stanno cercando di sfruttare la falla”.
È intervenuta anche la nostra neonata Agenzia per la cybersicurezza nazionale guidata da Roberto Baldoni. Che riguardo alla falla Log4Shell ha parlato, in una nota, di “una vasta e diversificata superficie di attacco sulla totalità della rete internet.
I tecnici dell’Agenzia per la Cybersicurezza Nazionale, in costante contatto con le omologhe agenzie europee ed internazionali, raccomandano, vista la pericolosità della vulnerabilità, di ridurre al minimo la sua esposizione su internet applicando le necessarie misure ai propri server nel più breve tempo possibile”.
- MAGLIETTA MINECRAFT BAMBINO - TANTI DESIGN -- scopri i nuovi ed accattivanti design delle magliette Minecraft, il...
- DAI 5 AI 14 ANNI -- l'abbigliamento bambini e ragazzi Minecraft è disponibile dalla taglia 5-6 anni alla taglia 13-14...
- T-SHIRT COTONE 100% -- la nuova collezione di abbigliamento Minecraft è realizzata in cotone, morbido sulla pelle e...
Apache rilascia la patch
Il solo Minecraft, il gioco su cui è stata scoperta la vulnerabilità Log4Shell, ha qualcosa come 141 milioni di utenti.
Per questo Apache Software Foundation è corsa immediatamente ai ripari, rilasciando un aggiornamento di sicurezza di emergenza che corregge la grave falla. E Microsoft si è occupata della correzione specifica per Minecraft.
Resta da capire, nei giorni precedenti a questi rilasci, come e quanto a fondo gli hacker abbiano potuto agire.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🍎Nuovi iPad e accessori: cosa aspettarsi dall’evento Apple del 7 maggio
🍿Fallout: tutte le domande irrisolte alle quali la Stagione 2 dovrà rispondere
🛞Come scegliere gli pneumatici estivi per l’estate? I fattori da considerare
🤯Google licenzia 28 dipendenti per proteste contro il progetto Nimbus in Israele
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
