La storia del bug di Internet che mette a repentaglio la sicurezza di tutto il web

Non si tratta di un virus, ma di una falla nel sistema che rischia di compromettere il futuro del mondo informatico

13/12/2021 di Enzo Boldi

Ventidue anni fa l’eco-sistema Internet si era trovato di fronte a quelle narrazioni sul famoso “Millennium Bug“, quella falla informatica che si sarebbe dovuta palesare – con effetti nefasti – al passaggio tra il vecchio e il nuovo Millennio allo scoccare della mezzanotte tra il 31 dicembre del 1999 e il 1° gennaio del 2000. Sembrava essere un qualcosa di non controllabile, ma alla fine è stato gestito senza effetti sul mondo del web. Oggi, però, si torna a parlare di un bug che potrebbe mettere a rischio l’intero mondo di Internet, in tutte le sue sfaccettature. A lanciare l’allarme sono stati gli esperti che hanno individuato questa problematica chiamata Log4Shell.

LEGGI ANCHE > Cosa è successo all’account Twitter del Primo Ministro indiano

Di cosa si tratta? Il problema sembra essere molto serio per via di quella tendenza di tutti i piccoli, medi e grandi attori del web che hanno utilizzato tutti lo stesso “prodotto”. Ed è proprio in quel prodotto, su cui si basa l’intero ecosistema di Internet, che è stato rivelato il bug. «I ricercatori hanno scoperto una vulnerabilità in Log4j – ha spiegato Marco Ramilli, amministratore delegato di Yoroi, all’Agi – una libreria usata dalla stragrande maggioranza programmatori di software con linguaggio Java che consente di scrivere nel software quelli che vengono chiamati ‘log’, ovvero degli ‘status’ del software stesso che permettono di fotografare un momento dello sviluppo del software stesso, registrando stati di avanzamento, perfomance, problemi e soluzioni».

I ricercatori, dunque, sono riusciti a scovare il “baco” Log4Shell. Ma come lo hanno scoperto loro, potrebbero scoprirlo altri esperti informatici che potrebbero utilizzare quel portone d’accesso – che resta socchiuso a causa di questo difetto – per dare il via libera a un attacco. Perché non si tratta di un virus, di un malware o di un ransomware. Si tratta di un problema alla base. Quella base su cui tutti i grandi attori del web hanno poggiato le proprie fondamenta. Di fatto, dunque, tutto il web è a rischio. E questa volta, non come nel “Millennium Bug”, non è un problema di passaggio tra un Millennio e l’altro.

Log4Shell, cos’è il bug che mette a rischio l’intero web

Si parla già di “Apocalisse del web“. Un concetto che ha il sapore dell’estremizzazione, ma in questo caso sembra che si possa andare in quella direzione. Mentre gli esperti stanno correndo ai ripari (domenica è stata rilasciata la versione aggiornata di Log4J 2.15.0) per mettere una toppa e rimettere nel cassetto quel bug, l’Agenzia Nazionale per la Cybersecurity ha descritto l’entità del problema e i suoi possibili effetti deflagranti sull’Internet delle cose: «La vulnerabilità risiede nel modulo di messaggistica e consente l’esecuzione di codice arbitrario da remoto sul server che utilizza la libreria portando alla completa compromissione dello stesso senza necessità di autenticazione.L’elevato utilizzo della libreria comporta la presenza di una vasta e diversificata superficie di attacco sulla totalità della rete Internet. La semplicità di sfruttamento (è sufficiente generare una chiamata che comporta la generazione di un log predeterminato) rende la vulnerabilità utilizzabile anche da attori non sofisticati in particolare in quanto è anche presente un PoC funzionante in rete».

Quali possono essere gli effetti

Parole e concetti che potrebbero non essere chiari a tutti. Proviamo a sintetizzarli con una spiegazione molto più concreta. Se qualcuno riuscisse a varcare questa soglia di quella porta rimasta socchiusa (ovvero il bug Log4Shell), riuscirebbe ad avere accesso a tutti i dispositivi connessi a internet. E questa porte d’ingresso sono tantissime, perché sono tanti (quasi tutti) i programmi (software e non solo) che utilizzano Log4J per creare i propri contenuti Internet forgiati con Java. Ed è per questo che si parla di “superficie ampia” d’attacco. Si parla, per esempio, di Microsoft (non a caso, come riporta il quotidiano Il Messaggero, la vulnerabilità è stata utilizzata per la prima volta all’interno di Minecraft, il noto videogioco prodotto da Redmond). Ma c’è molto altro, anche a livello gerarchicamente (per utilizzo) meno vasto.

Share this article
TAGS