Minecraft evidenzia una vulnerabilità della rete; il settore informatico si sta mobilitando ma il rischio per la sicurezza di molte aziende è concreto.
Il mondo tech è in fermento a seguito della scoperta di una considerevole “falla nel sistema” chiamata «Log4 Shell» che oggi viene individuata come un rischio per numerose piattaforme di grande caratura: la minaccia per la sicurezza degli utenti è stata registrata per i server Amazon ed Apple ma anche nel caso di Microsoft.
Il popolarissimo gioco di Minecraft in particolare è sotto i riflettori essendo stato proprio il veicolo di scoperta di Log4Shell, intercettato per la prima volta a fine novembre da alcuni esperti del colosso cinese Alibaba.
Alcuni pareri da parte degli esperti e una forma semplificata delle questioni che si celano dietro questa problematica tecnica sono, per il momento, le uniche informazioni di dominio pubblico.
Log4Shell: cos’è e perché è un problema?
La vulnerabilità riscontrata è stata soprannominata «Log4Shell» proprio perché interviene nel momento in cui l’utente effettua il login in una qualunque piattaforma.
L’Apache Software Foundation, l’organismo non profit che dal 1999 sovrintende quella parte di programmi comuni, ha espresso una valutazione di peso. Secondo i report la gravità di questa falla è pari a 10 su una scala da 1 a 10. In sintesi infatti si parla di «una delle peggiori debolezze informatiche scoperte negli ultimi anni», che in particolare, contando soltanto gli utenti del videogioco di Minecraft, interessa oltre 141 milioni di utenti.
L’obiettivo attuale è quello di correggere il «difetto» nel codice open source nei servizi cloud e nei software proprio perché altrimenti gli impianti utilizzati da aziende private e anche da soggetti pubblici quali governi e piattaforme statali sarebbero a rischio.
Microsoft: voce agli esperti
I virgolettati allarmanti sono molto diffusi ma, in condizioni come quelle attuali, non c’è bisogno di essere particolarmente fantasiosi. Non si tratta infatti di una generica notizia di malfunzionamento e nemmeno di un annuncio allarmista, la stessa direzione operativa di alcuni team di lavoro riconosce e riferisce la gravità della situazione; le dichiarazioni di chi si occupa materialmente di intervenire sul problema sono dure e lapidarie.
Un esempio è proprio il discorso di Joe Sullivan, chief security officer di Cloudflare, all’agenzia stampa Associated Press che, rilasciando un’intervista, sostiene come sia «difficile pensare a un’azienda che non sia a rischio». La ragione è la vasta diffusione di questa problematica e soprattutto il numero di aziende (e quindi di utenti) coinvolte direttamente. Adam Meyers, vice-presidente di Crowdstrike, invece si esprime in termini ancor più critici se vogliamo:
«Internet è in fiamme in questo momento: i tecnici si stanno affannando per riparare i server mentre altri, malintenzionati, stanno cercando di sfruttare la falla».
Se queste risposte potrebbero generare timori, è altrettanto surreale il silenzio stampa di Amazon e Apple che hanno rifiutato qualsiasi colloquio giornalistico.
Come arginare il problema?
Gli addetti ai lavori la definiscono quindi una corsa contro il tempo per riparare il buco prima che qualcuno possa usarlo per entrare nei pc e nelle piattaforme di aziende e governi. Per Minecraft però è stato ideato un meccanismo di sicurezza temporaneo abbastanza efficiente. Microsoft ha da poco rilasciato una patch - in inglese «toppa» - che dev’essere installata con il nuovo aggiornamento da tutti gli utenti.
Il problema che si poneva in questo caso del resto era l’alto tasso di giovanissimi utenti che popolano i server senza supervisione e senza neppure l’adeguata conoscenza di norme di sicurezza informatica di base.
La sola cosa certa al momento è che i tecnici del settore informativo di ciascuna delle compagnie citate stanno tuttora lavorando per arginare il problema e limitare i possibili danni che questa drammatica e complessa falla potrebbe causare a milioni di utenti in tutto il mondo.
Al momento insomma l’unica soluzione plausibile è informare le persone su un possibile rischio di vulnerabilità dei loro computer o delle reti che usano e “tamponare” finché lo strappo non verrà del tutto ricucito.
© RIPRODUZIONE RISERVATA