Log4j è una libreria, un insieme di funzioni richiamate da programmi. Ecco, Log4j sta scricchiolando ed è crollata in parte.

A fine novembre l’allarme da Minecraft. Gli hacker hanno sfruttato una vulnerabilità della libreria Java di Logging (Log4j, per l’appunto) per eseguire codice sconosciuto da remoto.

Il problema è che la falla non riguarda ovviamente solo la piattaforma Minecraft, ma la libreria stessa, ovvero quella funzionalità opensource che è utilizzata da un numero considerevole di server, aziende e utenti in tutto il mondo.

Log4j viene richiamata dagli sviluppatori come Logging per tenere traccia di ciò che accade al programma. Si tratta quindi di informazioni testuali che però, facilmente manipolate dagli hacker, diventano istruzioni per ransomware o altri tipi di attacchi.

Il contenimento di questa falla, denominata Log4Shell, non è né rapido né semplice. Innanzi tutto i cybercriminali stanno eludendo i controlli ed escogitando metodi alternativi di attacco. L’altro aspetto è che l’uso di librerie opensource è vasto e ormai riconosciuto come basilare per gli sviluppatori e quindi la vulnerabilità potrebbe interessare anche altre risorse.

La vulnerabilità di Log4j fa sorgere domande sulla sicurezza degli strumenti condivisi.

Spesso infatti librerie usate in tutto il mondo sono sviluppate e mantenute da pochissime persone che, in certi casi, svolgono il lavoro a titolo gratuito.

Java ha rilasciato la nuova versione della libreria e sicuramente, trattandosi di una minaccia globale, gli interventi risolutivi non tarderanno ad arrivare.

Eppure la sensazione è che la cybersecurity sia stata un po’ trascurata a partire dalla fondamenta e che spesso si debba ricorrere ai ripari a danno avvenuto.

Per approfondire:

Articolo del Sole24ore

Tagged in:

, ,