Una vulnerabilità informatica scoperta lo scorso anno in un software onnipresente è un problema “endemico” che porrà rischi alla sicurezza potenzialmente per un decennio o più, secondo un nuovo comitato di sicurezza informatica creato dal presidente Joe Biden.
Il Comitato di revisione della sicurezza informatica ha detto in un rapporto giovedì che non c’è stato alcun segno di novità importanti attacco informatico a causa del difetto Log4j, sarà comunque “sfruttato negli anni a venire”.
"log4j è una delle vulnerabilità software più gravi della storia", ha detto mercoledì ai giornalisti il presidente del consiglio, il sottosegretario del Dipartimento per la sicurezza interna Rob Silvers.
La falla Log4j, resa pubblica alla fine dello scorso anno, consente agli aggressori basati su Internet di prendere facilmente il controllo di qualsiasi cosa, dai sistemi di controllo industriale ai server web e all'elettronica di consumo. I primi segnali evidenti dello sfruttamento della falla sono comparsi nel Minecraft, un gioco online estremamente popolare di proprietà di Microsoft.
La scoperta della falla ha suscitato avvertimenti urgenti da parte di funzionari governativi e massicci sforzi da parte dei professionisti della sicurezza informatica per applicare patch ai sistemi vulnerabili.
Giovedì il consiglio ha affermato che “in modo piuttosto sorprendente” lo sfruttamento del bug Log4j si è verificato a livelli inferiori rispetto a quanto previsto dagli esperti. Il consiglio ha inoltre affermato di non essere a conoscenza di eventuali attacchi Log4j “significativi” contro sistemi infrastrutturali critici, ma ha osservato che alcuni attacchi informatici non essere segnalato.
Il consiglio ha affermato che gli attacchi futuri sono probabili in gran parte perché Log4j è regolarmente integrato con altri software e può essere difficile per le organizzazioni trovarlo in esecuzione nei propri sistemi.
"Questo evento non è finito", ha detto Silvers.
Log4j, scritto nel linguaggio di programmazione Java, registra l'attività dell'utente sui computer. Sviluppato e gestito da una manciata di volontari sotto gli auspici della Apache Software Foundation open source, è estremamente popolare tra gli sviluppatori di software commerciale.
Un ricercatore di sicurezza presso il colosso tecnologico cinese Alibaba ha notificato alla fondazione il 24 novembre. Ci sono volute due settimane per sviluppare e rilasciare una correzione. I media cinesi hanno riferito che il governo ha punito Alibaba per non aver segnalato prima il difetto ai funzionari statali.
Il consiglio ha dichiarato giovedì di aver trovato “elementi preoccupanti” nella politica del governo cinese riguardo alla divulgazione delle vulnerabilità, affermando che potrebbe fornire agli hacker statali cinesi uno sguardo tempestivo sui difetti dei computer che potrebbero utilizzare per mezzi nefasti come rubare segreti commerciali o spiare i dissidenti. Il governo cinese ha da tempo negato ogni illecito nel cyberspazio e ha dichiarato al consiglio di incoraggiare una migliore condivisione delle informazioni sulle vulnerabilità del software.
Il consiglio ha offerto una serie di raccomandazioni per mitigare le ricadute della falla Log4j e per migliorare la sicurezza informatica in generale. Ciò include il suggerimento che le università e i community college rendano la formazione sulla sicurezza informatica una parte obbligatoria dei programmi di laurea e certificazione in informatica.
Il Cyber Safety Review Board è modellato sul modello del National Transportation Safety Board, che esamina gli incidenti aerei e altri incidenti gravi, ed è stato incaricato da un ordine esecutivo firmato da Biden lo scorso maggio. Il consiglio di amministrazione, composto da 15 membri, è composto da FBI, National Security Agency e altri funzionari governativi, nonché da persone del settore privato. Alcuni sostenitori del nuovo consiglio hanno criticato il DHS per aver impiegato così tanto tempo per renderlo operativo.
L’ordine esecutivo di Biden ha ordinato al consiglio di condurre la prima revisione sulla massiccia campagna di spionaggio informatico russa nota come SolarWinds. Gli hacker russi sono riusciti a violare diverse agenzie federali, compresi gli account appartenenti ai massimi funzionari della sicurezza informatica del DHS, anche se le conseguenze di quella campagna non sono ancora chiare.
Silvers ha affermato che il DHS e la Casa Bianca concordano sul fatto che la revisione del difetto Log4j rappresenta un uso migliore delle competenze e del tempo del nuovo consiglio.
