Log4j – Arturo Di Corinto

Software, a qualcuno piace libero

Hacker’s Dictionary. Gli ultimi incidenti informatici hanno riattizzato le polemiche sull’uso dell’open source, ma in maniera strumentale. Il software, oggetto largamente artigianale, non è mai perfetto, e quando è libero è più facilmente migliorabile

di ARTURO DI CORINTO per Il Manifesto del 24 Febbraio 2022

La scoperta della vulnerabilità del software open source Log4J, usato a livello mondiale, anche dalla Nasa, ha fatto temere una catastrofe informatica e sollevato molte critiche sull’uso del software libero. Ma la catastrofe non c’è stata perché la comunità degli sviluppatori ne ha rese disponibili subito le correzioni con gran sollievo di tutti. Certo i rischi ci sono ancora, come accade anche per i bachi del software commerciale e proprietario di Microsoft e di quelli degli altri vendor globali.

Il software libero è la seconda più grande invenzione del secolo scorso, dopo Internet. In realtà le due invenzioni sono legate perché Internet è largamente basata sul software libero e il software libero non esisterebbe senza la gigantesca comunità di appassionati sviluppatori che hanno cooperato su larga scala per farlo funzionare. Lo hanno fatto, proprio tramite a Internet, dal giorno della sua formalizzazione – grazie all’hacker Richard Stallman e all’avvocato Eben Moglen -, per mettere a disposizione di tutti il software che istruisce i nostri computer e che oggi, tanto per dirne una, è alla base di Android.

Pagine: 12

Ricatti informatici, il 2021 è un anno da dimenticare

Secondo gli esperti gli attacchi alle aziende italiane continueranno secondo un trend in ascesa, colpa anche della disponibilità a pagare delle vittime. Anche la franco-italiana Thales preda di hacker

di ARTURO DI CORINTO per ItalianTech/La Repubblica del 4 Gennaio 2022

La notizia arriva nello stesso giorno in cui diventano pubblici il sito e il logo dell’Agenzia per la cybersicurezza nazionale (ACN) italiana: anche la protettissima Thales è caduta ostaggio del ransomware Lockbit 2.0.

E’ la stessa, omonima gang che lo gestisce a far sapere sul suo blog che mancano 13 giorni alla data fatidica in cui il tesoretto dei primi 1320 file esfiltrati sarà esposto al pubblico. Thales è un gruppo francese di elettronica specializzato in aerospazio, difesa, sicurezza e la sua branca italiana, Thales Alenia Aerospace, è leader nel mondo per la componentistica spaziale, ad esempio per i moduli della ISS, la Stazione spaziale internazionale fatti a Torino. La banda di criminali informatici non fornisce alcun dettaglio, solo un conto alla rovescia prima di rilasciare i dati esfiltrati. Un modo per concedere ai francesi il tempo di negoziare una richiesta di riscatto che Thales sostiene di non avere ricevuto e che fonti qualificate ritengono però già oggetto di trattativa. L’anno nuovo non poteva incominciare peggio dopo gli allarmi venuti da più fronti sui futuri obbiettivi di cyber-vandali e criminali digitali.

Pagine: 12

Ci vuole una regia pubblica per fronteggiare la minaccia cibernetica e Log4j ce lo insegna

Per l’esperto cyber e professore universitario Corrado Aaron Visaggio, che si sia trattato di insider threat o APT, la vulnerabilità Java che sta allarmando tutti deve essere l’occasione per riflettere sull’uso e sul tracciamento del patrimonio software su cui si basano le nostre attività

di ARTURO DI CORINTO per Cybsersecurity360 del 28 Dicembre 2021

Il 9 dicembre è stata resa pubblica la falla di un software assai popolare. La vulnerabilità (CVE-2021-44228) coinvolge la libreria Java Apache Log4j utilizzata a livello mondiale. Considerata di livello critico, permette a chi la sfrutta di eseguire del codice arbitrario a danno dell’applicazione affetta: in gergo si parla di Remote Code Execution (RCE). Una bella metafora utilizzata per spiegare questo problema informatico è questa: “come se mentre stai recitando a teatro qualcuno ti cambia la sceneggiatura e il gobbo suggeritore non tiene più traccia dei testi dei personaggi, anzi, ce ne aggiunge di nuovi”.

La vulnerabilità è stata soprannominata Log4Shell e all’inizio ha interessato le versioni dalla 2.0-beta 9 alla 2.14.1 della libreria. Ma adesso, nonostante le patch, le correzioni prodotte velocemente dalla comunità del software open source, si scoprono nuove vulnerabilità e per mettersi al riparo le patch successive non bastano più.

Per capire il contesto di questa minaccia abbiamo interpellato un esperto del settore, un giovane ricercatore di cyber security e professore di Sistemi di elaborazione delle informazioni nel Dipartimento di Ingegneria dell’Università del Sannio, molto citato dai suoi colleghi scienziati. Si occupa di ricerca industriale per DefenseTech, un’azienda che sviluppa tecnologie per la difesa in ambito aerospazio, ingegneria dei sistemi e cyber security dirigendone il settore R&D.

Pagine: 12

Intervista Arturo Di Corinto a SkyTg24

TG24 PROGRESS del 18 Dicembre condotto da Helga Cossu (Ora: 10:30)
Ospiti Arturo Di Corinto e Roberto Baldoni, direttore dell’Agenzia per la cybersicurezza
nazionale. Si parla di cybersicurezza, della vulnerabilità Java chiamata Log4shell, scoperto un attacco informatico alla Sogin in Italia.
Risultano vulnerabili alla falla Java anche Microsoft, Amazon, Apple e Twitter.

Gli ospiti ritengono necessaria un’ educazione culturale fin dalle scuole, Di Corinto cita molte iniziative da parte di ABI associazione bancaria italiana, Certfin, Bankitalia che stanno facendo una serie di campagne di informazione sui siti web sui giornali per insegnare i comportamenti virtuosi sul Web.

Falla in Java, scatta l’allarme rosso sulla Rete. E non è un’esercitazione

Gli esperti dell’Agenzia nazionale per la Cybersicurezza avvertono di una vulnerabilità nel codice della Apache Foundation, tra i più diffusi al mondo e usato anche su Marte. Riguarda server, smartwatch e tablet

di ARTURO DI CORINTO per ItalianTech/LaRepubblica del 13 dicembre 2021

L’allarme è rosso, il rischio elevato e lo scenario che si sta aprendo, spaventoso. Una vulnerabilità del software Java appena identificata sta mettendo a rischio tutta la rete Internet proprio in queste ore. A confermare la notizia data il 9 dicembre da alcuni esperti, sono il sito dello Csirt, il Computer Security Incident Response Team – Italia e un successivo comunicato della neonata Agenzia Nazionale per la Cybersicurezza (ACN). La vulnerabilità è stata denominata Log4Shell e la sua criticità è massima poiché permette l’esecuzione di codice da remoto senza autenticazione, e interessa applicazioni Java-based che utilizzano un prodotto Apache di nome Log4j 2, dalla versione 2.0 fino alla 2.14.1. Usandola l’attaccante può ottenere un accesso persistente alla macchina bersaglio.

Pagine: 12

Cookie	Durata	Descrizione
connect.sid	1 hour	This cookie is used for authentication and for secure log-in. It registers the log-in information.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
nyt-a	1 year	This cookie is set by the provider New York Times. This cookie is used for saving the user preferences. It is used in context with video and audio content.
nyt-gdpr	6 hours	No description available.
nyt-purr	1 year	No description available.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_5VXPW099ZB	2 years	This cookie is installed by Google Analytics.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.