Cos’è log4j, la più grande minaccia della storia alla cybersecurity mondiale

Il 9 dicembre nella comunità degli addetti ai lavori e appassionati di cybersecurity ha cominciato a girare insistentemente la voce di un nuovo, pericolosissimo bug trovato dentro un modello di computer estremamente popolare. Il giorno dopo la diffusione della notizia, praticamente tutte le più grandi software company del mondo sono entrate in crisis mode: tutti si sono messi alla ricerca di un metodo e uno strumento che aiutasse a capire se questo bug si annidasse anche dentro i loro dispositivi. La preoccupazione e la ricerca spasmodica di una soluzione possono sembrare esagerate, di primo acchito. Ma si capisce tutto meglio leggendo le prime descrizioni che di questo bug sono state fatte: si tratterebbe di una riga di codice appartenente a una sezione chiamata log4j, quattro lettere e un numero che nella cybersecurity mondiale stanno diventando sinonimo di disastro (alcuni parlano di vera e propria apocalisse).

Passati appena dieci giorni dalla scoperta del bug, siamo già alle conferenze stampa e alle dichiarazioni ufficiali delle agenzie governative, come racconta Input. Jen Easterly, direttrice della U.S. Cybersecurity and Infrastructure Agency, ha detto, in un’intervista dello scorso giovedì concessa a Cnbc, che log4j è «la falla nella sicurezza informatica più preoccupante che io abbia incontrato in tutta la mia carriera». Sono decenni che Easterly lavora nel settore.

A rendere così preoccupante la “vulnerabilità log4j”, come comincia a essere chiamata in via ufficiale, è il fatto che la si può trovare in milioni e milioni di dispositivi. La cosa incredibile è che si tratta di un pezzettino di codice piuttosto banale, in uso ormai da anni: la sua funzione è quella di permettere ai dispositivi di tenere traccia delle loro attività precedenti. È una sorta di diario, per semplificare, usato da tantissime aziende informatiche e un’infinità di dispositivi in tutto il mondo: si va da Amazon Cloud alle Internet tv. Il problema sta proprio nella “semplicità” del codice: ogni volta che a log4j viene chiesto di registrare qualcosa, log4j la registra. A un certo punto gli esperti di cybersecurity si sono resi conto che log4j registrava senza problemi anche codici malevoli, rendendo semplicissimo il lavoro di chi volesse, per dire, prendere possesso di un server. Nessuno sa esattamente chi abbia scoperto la vulnerabilità né chi sia stato il primo a comprenderne il potenziale dannoso ma, come sempre, le leggende a riguardo già esistono: pare che sia tutto cominciato dentro il popolarissimo videogioco Minecraft, ma di confermato o confermabile non c’è nulla, per il momento.

Di confermatissimo, invece, c’è il panico e la corsa ai ripari di tutto il mondo dell’high tech e della tecnologia di consumo. Contro log4j i singoli utenti non possono fare praticamente nulla, la responsabilità di trovare una soluzione e implementarla ricade quindi interamente sulle spalle delle aziende. Easterly ha detto che «stiamo facendo tutto il possibile per contenere il problema e trovare tutti i rischi associati alla presenza di log4j. Abbiamo aggiunto questa vulnerabilità al nostro elenco dei rischi informatici che possono essere usati dagli hacker per le loro attività criminali. Il messaggio è chiaro: le agenzie federali civili e i partner privati del governo federale devono urgentemente porre rimedio».