Una scena del noto film "Il Dottor Stranamore, ovvero: come imparai a non preoccuparmi e ad amare la bomba" di Stanley Kubrick
Log4Shell è il nome di un nuovo e importante pericolo informatico recentemente comparso all'orizzonte che, nell'arco di pochi giorni, ha generato oltre 800 mila gravi attacchi hacker ovunque nel mondo. Non si tratta di un nuovo virus ma, più semplicemente, di una disfunzione del sistema che affligge milioni di computer e server in tutto il mondo. Grazie alla scoperta improvvisa di tale disfunzione, divulgata online in modo ufficiale dal 10 dicembre, sono state colpite in pochi giorni centinaia di migliaia di aziende e infrastrutture informatiche in tutto il mondo. Sono stati coinvolti datacenter importanti come quelli di Apple, Twitter, CloudFlare, Amazon, Tesla, VMWare.
Tutti vittime di attacchi malevoli e azioni "hacking" apparentemente banali che, in condizioni normali non avrebbero costituito un grave problema per gli addetti ai monitoraggi anti intrusione e alla cybersecurity. Attacchi che sono stati però gravi, con danni che sono ancora in fase di verifica, in quanto in grado di sfruttare una debolezza intrinseca di un software open source che è fondamentale per molti siti web e, più in generale, costituisce una risorsa basilare per gestire i servizi di rete attraverso dei server.
Questo pericolo viene citato con l'anonima sigla CVE-2021-44228 nel registro delle vulnerabilità di sicurezza riferite al Log4j di Apache (LINK) che costituisce l'ambiente di libreria/framework utilizzato dagli sviluppatori per la registrazione e il "logging", ovvero gestire l'accesso di amministratori e utenti all'interno di web server Linux o applicazioni software sviluppate in Java.
Ma questa sigla anonima si è trasformata molto presto, nell'immaginario collettivo, nel primo grande bug informatico da post-millennio dopo il mitico "millennium bug" del 2000. Insomma sembra essere questo il prossimo "Doomsday device" praticamente una nuova arma dell'apocalisse annunciata spesso con toni da catastrofe imminente da molti addetti ai lavori perchè rischia di essere ben più grave di quanto non si immagini. In quanto consentirebbe a degli aggressori informatici di assumere in modo semplice e agevole, attraverso la rete e da remoto, il controllo totale di un server web basato su Apache, che è uno degli ambienti software per Linux maggiormente utilizzato nella rete internet e sul web. Un grave pericolo con cui tutto il mondo del web dovrà fare i conti.
Il motivo è che sanare la vulnerabilità Apache in breve tempo è praticamente impossizzibile. Si tratta di un sistema utilizzato ovunque in tutto il mondo in quanto software Open Source distribuito gratuitamente dalla omonima Fondazione. E alla vulnerabilità Log4j in questione, la stessa Apache Foundation ha assegnato un security risk rating pari a CVSSv3: 10. Anche questa è un'altra anonima sigla dietro la quale si nasconde però il punteggio di livello massimo di rischio attribuibile ad una minaccia informatica secondo i parametri statunitensi dello NST (National Vulnerability Database) previsti dal NIST (National Institute Standard Technology) che sono universalmente adottati in ambito di CyberSecurity in tutto il mondo.
La comunità Open Source e la Apache Foundation sono corse subito ai ripari pubblicando degli aggiornamenti che permettono di sanare la vulnerabilità. Ma nonostante questo, secondo molti scettici, potremmo essere di fronte ad una terribile “arma fine di mondo”, giusto per restare in tema filmico di catastrofe imminente.
Questo rischio quindi, tecnicamente risolvibile, resta davvero molto alto per l'incapacità di sanarlo in tempi rapidi e in modo capillare. La proliferazione e diffusione di processi di Remote Code Execution (RCE) senza nessuna autenticazione può essere difficile da contrastare. E la cosa consentirebbe a qualsiasi hacker malintenzionato, nemmeno troppo esperto, di eseguire codice particolarmente dannoso accedendo da remoto, anonimamente e attraverso la rete, a tutti quei server Apache che non siano stati ancora aggiornati e abbiano applicazioni software sviluppate in ambiente Java utilizzanti questa particolare libreria Log4j.
Per capire l’entità dell'allarme basti pensare che l'ambiente Java si stima sia utilizzato in oltre 3.5 miliardi di siti web e Log4j è una delle librerie più usate per amministrare dei siti. Se si volesse approfondire quanti servizi e applicazioni utilizzano Log4j, esiste una lista, consultabile liberamente e in continuo aggiornamento, a questo link:
Un esempio importante dei software a rischio, come la stessa Apache Foundation ha reso noto sul proprio account Twitter, può essere il sistema di amministrazione e controllo che governa Ingenuity, il famoso elicottero della NASA che viene teleguidato dalla terra nei suoi voli sulla superficie di Marte. Anche Ingenuity ha bisogno di usare la libreria Log4j nel proprio software.
E sappiamo tutti quanto la tecnologia per l’esplorazione spaziale civile sia strettamente connessa a ricerche e tecnologie militari che spesso la precedono. Tutte le superpotenze muovono enormi capitali nella costruzione e sviluppo di apparati per la "guerra elettronica" sempre più evoluti. Le stesse aziende che governano i mercati degli armamenti "convenzionali" investono miliardi di dollari nello sviluppo di tecnologie per il telecontrollo e contromisure elettroniche. Nessuno quindi ci vieta di pensare che la stragrande maggioranza di software che guida l’immenso apparato bellico statunitense sia a rischio. E lo sia anche quello delle centinaia di Paesi a cui, quelle stesse aziende produttrici di armamenti per le forze armate USA o NATO, tali tecnologie e armi vendono o hanno venduto in passato.
Una libreria e ambienti OpenSource di questo tipo, bisogna ricordarlo, sono largamente utilizzate anche dalle altre due superpotenze, Russia e Cina. E più in generale sono diffuse in tantissimi paesi non facenti parte della NATO. Proprio perchè sviluppare del software "locale" utilizzando librerie libere e gratuite, rende il prodotto finale commercialmente svincolato da limiti e tecnologicamente indipendente e autoctono. Non assoggettabile al controllo straniero di governi, multinazionali e corporation occidentali. E' questo ad esempio il motivo per cui in questi ultimi anni è in atto una feroce lotta "commerciale" tra Cina e Stati Uniti intorno al sistema operativo Android prodotto dall'azienda americana Google e presente sulla maggioranza dei cellulari e smartphone in commercio. Avviene per tutte le nuove tecnologie della comunicazione digitale e software ad uso civile. Immaginate quanto possa essere molto più feroce la lotta tra superpotenze quando si tratti di tecnologie ad uso strategico e militare. E quanto possa temersi qualsiasi rischio collegato all’uso fraudolento, da parte di un nemico, di un "bug" software largamente usato nei milioni di righe di codice di altri software che governano, elettronicamente e telematicamente, milioni di armi.
Ma non si pensi solo e banalmente alle armi o alle strutture militari. Ci sono migliaia di infrastrutture altamente strategiche, necessarie a garantire la vita di una qualsiasi potenza economica, industriale e militare, che sono altrettanto critiche e vanno protette dagli attacchi stranieri. Come gli aeroporti, i porti, le stazioni e linee di comunicazione ferroviaria e stradale terrestre, gli impianti di produzione di materie prime, gli acquedotti, le centrali elettriche e nucleari, le fabbriche di trasformazione e produzione industriale di qualsiasi bene importante possa servire in tempo di pace come di guerra. Tutto quello che era utile ad un sistema di difesa strategico, in qualsiasi guerra "tradizionale/analogica" combattuta fino alla metà del secolo scorso, veniva preventivamente distrutto dal nemico con attacchi mirati, a distanza, dal cielo o dal mare, per indebolire e mettere in ginocchio l'avversario prima di qualsiasi attacco diretto via terra.
Le moderne CyberWar (termine con il quale si definiscono le guerre digitali ed elettroniche che non sono più soltanto militari) si combattono ogni giorno, tra eserciti invisibili di stati e paesi che sono potenze industriali tra loro avversarie, sopra le nostre teste. Senza che nessuno lo sappia. E, nel caso in cui si tratti di una guerra tra superpotenze, potete star certi che la via migliore per far grossi danni sfruttando cose simili al "bug" informatico con Log4Shell di cui parliamo, verrà facilmente trovata.
Quindi, si deve entrare oggi nell'ottica che tutto quello che è vitale e critico, in qualsiasi paese industrializzato, è anche sempre più digitale o governabile elettronicamente. Quindi può essere allo stesso modo attaccato e distrutto preventivamente, agendo a distanza. Si può farlo digitalmente/elettronicamente, attraverso infiniti metodi e tecnologie sempre più evoluti in grado di sfruttare la rete e i software e i difetti delle tecnologie avversarie.
Ma il problema reale forse non è nemmeno questo. Perchè in qualche modo tanti anni di "guerra fredda" nel secolo scorso hanno insegnato alle grandi potenze l'uso di una strategia "sinusoidale" fatta di momenti alternati di tensione o tregua con conseguente proliferazione o riduzione delle armi, fino al mantenimento di un sempre più difficile equilibrio. In cui tutti ad occidente ci siamo abituati a questa apparente assenza di guerra alle porte di casa che ci ostiniamo ancora a chiamare pace. Ci sentiamo comunque in pace e al sicuro sapendo che le guerre vengono combattute costantemente altrove, anche se avviene a poca distanza da noi e con le armi che noi stessi produciamo.
La preoccupazione dovrebbe salire esponenzialmente quando si pensa che una guerra digitale sta diventando ormai una cosa alla portata di molti. Grazie ad armi pericolosissime, sempre più diffuse e sempre meno costose. Armi digitali e software pericolosi che possono finire ormai in mano a chiunque, anche al più folle, permettendogli di attaccare con sempre più facilità altri software industriali, civili e militari.
Ed ecco che, guarda caso, ci si ritrova tutti intorno alla "paura della bomba" e dei suoi aggiornamenti tecnologici, che la politica recente ci ha insegnato a temere (LINK). E si precipita di colpo tutti indietro negli anni '60 cercando di non preoccuparsi troppo.
Pensiamo ancora al "Dottor Stranamore" di Stanley Kubrick, mentre oggi il vero "DoomsDay Device" di cui si dovrebbe aver tutti paura, credo sia questo nostro intero pianeta coperto di armi e tecnologie di distruzione di massa sempre più digitali ed evolute. Un mondo messo in mano ad una generazione di mercanti d'armi sempre più "affamati e folli" che, avendo frainteso completamente il senso dell'esortazione originaria, questo mondo lo ha purtroppo cambiato davvero e molto in peggio.