Alcuni virus non passano di moda e l’allerta sicurezza lanciata ancora una volta per log4j ci ricorda quanto è importante aggiornare tutto.
I virus informatici non vanno in vacanza e purtroppo non passano mai di moda. Soprattutto quelli più performanti. E del resto anche tra gli hacker ci sarà il detto squadra che vince non si cambia.
Soprattutto perché a quanto pare non c’è bisogno di inventarsi nulla di nuovo e fantascientifico. Ci pensano quelli che sono poi incaricati di sviluppare applicazioni a non fare i compiti. Il report diffuso dalla società specializzata in sicurezza informatica Veracode è quanto mai interessante come lettura ma allarmante nei contenuti.
Ed è da ultimo la dimostrazione di come l’idea che si debba avere sempre tutto aggiornato alla versione più recente per inglobare le patch di sicurezza non sia soltanto un mantra da ripetere in qualità di utenti finali dei software ma anche in qualità di sviluppatori, perché quasi quattro applicazioni su 10 che sfruttano Log4j lo fanno con una versione che fa letteralmente acqua da tutte le parti.
Sono passati anni e l’allerta sicurezza per Log4j rimane
Log4j è una libreria Apache. È quindi un componente di moltissimi software. Nel corso del tempo, come qualunque pezzo, anche Log4j è stato aggiornato. Ma il suo nome è diventato famoso purtroppo quando un paio di anni fa si è scoperta una vulnerabilità che poteva essere sfruttata in modo estremamente facile da qualunque criminale informatico con un minimo di pazienza. E le società che per prime hanno riscontrato questa vulnerabilità hanno poi provveduto ad informare Apache Foundation e a diffondere un report pubblico per mettere in guardia chiunque utilizzasse la tecnologia Apache.
La società madre ha provveduto a rilasciare versioni aggiornate di questa libreria specifica e buona pratica avrebbe voluto che tutti gli sviluppatori di software in possesso della stessa libreria facessero lo stesso. Ma a quanto pare sono passati due anni e ci sono ancora moltissime applicazioni che non hanno fatto l’aggiornamento a una versione non vulnerabile di Log4j. I ricercatori di Veracode hanno scoperto che per esempio quasi un terzo delle applicazioni ha dentro di sé una versione di Log4j la cui ultima release di sicurezza risale al 2015 e che in generale molti non hanno provveduto a fare gli update.
In qualità di utenti finali è difficile fare qualcosa se non controllare che tutte le applicazioni siano aggiornate. Sapere se i programmi che usi basati sull’architettura di Apache Foundation siano rimasti indietro o abbiano effettivamente incorporato le versioni aggiornate di Log4j non è possibile. L’unica consolazione per questa situazione è una delle conclusioni che sono state tratte dal report pubblicato l’anno scorso dal Cyber Safety Review Board federale americano.
Che ha comunque sottolineato come il problema generato dalla vulnerabilità dentro Log4j non si risolverà prima di qualche altro anno. Trattandosi di una libreria molto utilizzata negli ecosistemi Open Source con lo sviluppo e la moltiplicazione delle comunità di developer che decidono per questa filosofia gli aggiornamenti di sicurezza per Log4j dovranno comunque tornare ad essere una priorità.