Una catastrofe informatica denominata Log4shell potrebbe rovinare le vacanze natalizie di miliardi di utenti. Abbiamo a che fare con un grave errore di progettazione scoperto in una delle librerie di codici Java più usate al mondo. Secondo le prime stime, almeno tre miliardi di dispositivi potrebbero essere in pericolo. Che cosa sta succedendo?
Chiunque mastichi un minimo di informatica sa che i sistemi operativi e i software più diffusi su ogni dispositivo (programmi, giochi, siti, app) sono strutturati a partire da codici derivati da alcune librerie framework di registrazione.
La minaccia Log4Shell
E fra queste, una delle più utilizzate è quella di Java, la Log4j, che implica l’esecuzione di codice arbitrario (arbitrary code execution, la possibilità di eseguire qualsiasi comando su un potenziale obiettivo informatico).
Ogni libreria, di base, è sviluppata e manutenuta da aziende specializzate e da volontari, ma spesse volte vengono a galla dei bug da risolvere o disinnescare. Capita in pratica ogni giorno. Si trova un bug e ci si mette al lavoro per risolverlo… Nei giorni scorsi, però, uno di questi bug è stato riconosciuto come probabile minaccia per l’intero sistema informatico. Siamo di fronte alla più grande manifestazione di vulnerabilità della storia recente del web? In molti pensano di sì. Il problema è chiamato di Log4Shell (CVE-2021-44228), una vulnerabilità zero-day collegata a tutti i programmi supportati da una libreria Log4j.
Tale vulnerabilità è stata segnalata (privatamente) ad Apache dal Cloud Security Team di Alibaba il 24 novembre 2021, ma è stata resa pubblica solamente il 9 dicembre 2021.
In realtà, la Apache Foundation ha già rilasciato una versione 2.16 della sua utility di logging proprio per arginare il problema. Ma, a quanto pare, la questione non è stata risolta, visto che è stata scoperta una seconda vulnerabilità (CVE-2021-45046) nella libreria che richiede l’immediata installazione di un’altra patch Java.
Per chi non avesse dimestichezza con i fondamenti dell’informatica, Java è un linguaggio di programmazione, utilizzatissimo per le interfacce grafiche, e “orientato agli oggetti”, ossia all’interazione attraverso lo scambio di messaggi, e alla tipizzazione statica.
Il bug, problema irrisolto delle librerie
Che cosa comporta questo bug? A detta degli analisti, l’errore permetterebbe ad hacker e truffatori di violare i sistemi di tutti quei dispositivi (computer, smartphone) che poggiano le loro infrastrutture informatiche sulla libreria di codici Log4j. Il problema più che per gli utenti base è per le grandi aziende, con i loro segreti da tutelare e i loro server da far funzionare senza intoppi.
POTREBBE ANCHE INTERESSARTI >>> Il supercomputer quantistico di GOOGLE: stravolgerà tutto!
Tutto nasce dall’utilizzo pressappoco universale dei codici Log4j della piattaforma Java. Moltissimi programmatori infatti utilizzano questi codici già scritti, testati (e in un certo senso sicuri) per sviluppare nuovi software o app. E visto che le librerie java sono oggi alla base dell’intera piramide informatica, un bug in queste fondamenta rischia di far crollare l’intero edificio.
POTREBBE ANCHE INTERESSARTI >>>La sonda Parker Solar Probe ha toccato il Sole: è la prima volta nella storia!
La libreria Log4j
Log4J è una delle librerie Java più diffuse e sfruttate al mondo. Fu creata dal programmatore svizzero Ceki Gülcü ed è ora gestita da Apache Software Foundation. Tantissimi programmi che utilizziamo ogni giorno, tantissimi siti web, sono programmati su codici “copiati” dalla libreria Log4j. Anche il popolare gioco Minecraft è in Log4j. E proprio grazie a questo gioco è stato scoperto il bug.
POTREBBE ANCHE INTERESSARTI >>> Intel Alder Lake | La sua architettura ibrida surclasserà i rivali
I colossi dell’informatica Apple, Microsoft, Google e Oracle hanno già iniziato ad aggiornare la libreria con la versione corretta, ma pare che si siano mossi troppo tardi. C’è il rischio che tutti i sistemi siano stati già violati. Volete un mio parere? Non abbiate paura, il bug sarà risolto…