Log4j e Log4Shell: tutto quello da sapere sulla vulnerabilità 0-day con @raistolo Zanero

Ciao Internet su Ciao Internet con Matteo Flora del 12.12.2021

Copertina del video: 930. Log4j e Log4Shell: tutto quello da sapere sulla vulnerabilità 0-day con @raistolo Zanero

I contenuti dell'Episodio #930

In questo episodio di "Ciao Internet", affronto insieme a Stefano Zanero l'apocalisse informatica causata dalla vulnerabilità di Log4J, una libreria di logging usata globalmente in sistemi server. Discutiamo delle implicazioni, dell'impatto e delle difficoltà nel gestire questa crisi, offrendo un'analisi che spazia dalle problematiche tecniche alla necessità di un maggiore supporto per i progetti open source critici.
Ciao a tutti, sono Matteo Flora e oggi vi porto in un viaggio attraverso una delle vulnerabilità informatiche più significative del nostro tempo: Log4J. Se non ne avete ancora sentito parlare, state certi che presto lo farete. Questa falla ha colpito uno dei pilastri del software utilizzato a livello globale, e per approfondire l'argomento sono in compagnia del mio caro amico Stefano Zanero, professore associato al Politecnico di Milano.

Stefano ci spiega che Log4J è una libreria di logging ampiamente utilizzata nei sistemi server, fondamentali per il funzionamento di vari servizi online. Non è un problema che riguarda direttamente gli utenti finali, ma piuttosto i fornitori di servizi che devono correre ai ripari per evitare disservizi. La vulnerabilità è così grave che ha costretto squadre di tecnici a lavorare incessantemente per risolvere il problema.

La peculiarità di Log4J è che è usata ovunque. Da grandi aziende come Google, Facebook, e persino nella sonda Ingenuity su Marte, fino ad arrivare a Tesla, questa libreria è praticamente onnipresente nei sistemi informatici moderni. La facilità con cui l'exploit può essere utilizzato la rende particolarmente pericolosa; bastano poche competenze per sfruttarla, mettendo a rischio un'ampia gamma di dispositivi e servizi.

Uno degli aspetti più critici è che Log4J è mantenuta da un piccolo team di sviluppatori che lavorano a questo progetto nel loro tempo libero, in modalità open source. Questo solleva importanti questioni sulla necessità di supportare meglio tali progetti critici. Non è la prima volta che si verifica una situazione del genere: il caso di Heartbleed con OpenSSL è un precedente emblematico.

Parliamo anche di come la vulnerabilità sia stata scoperta inizialmente nei server di Minecraft, evidenziando come la sua facilità d'uso abbia portato a tentativi di sfruttamento su larga scala. Stefano sottolinea che, mentre può essere facilmente patchata, il vero problema è identificare tutte le istanze di Log4J all'interno di grandi aziende, soprattutto in sistemi legacy che non sono più mantenuti attivamente.

Concludiamo con un'osservazione sul concetto di Software Bill of Materials (Sbomb), che potrebbe aiutare a risolvere tali problemi in futuro, fornendo un elenco completo delle componenti software utilizzate in un prodotto. Anche se questa vulnerabilità non rappresenta un problema diretto per gli utenti finali, il suo impatto sui servizi e sulle infrastrutture sottolinea l'importanza di una gestione proattiva della sicurezza informatica.