Connect with us

Notizie

Log4j: la libreria Java che sta facendo tremare il mondo

Pubblicato

in data

Tempo di lettura: 5 minuti.

Internet sta affondando, corsa contro il tempo per salvarlo. E’ la dichiarazione che i media stanno ripetendo all’unisono ogni giorno e precisamente da quando l’amministrazione Biden ha annunciato un grave bug informatico in Log4j, che sta mettendo a rischio l’intera rete Internet per via della sua diffusione capillare.


Cosa è Log4j?


Apache log4j è una libreria Java, dismessa in favore della versione 2, per generare log, i programmatori java usano questo sistema per fare il debug delle applicazioni e anche per controllare il funzionamento delle stesse in fase di produzione. Si occupa di tracciare le attività che avvengono dietro ad un programma. Quando acquistiamo, ad esempio, su Amazon c’è “qualcosa” che scrive che il nostro utente ha eseguito una richiesta, dando anche un riferimento temporale di inizio. In poche parole siamo dinanzi ad una specie di notaio, che segna un contratto senza prendervi parte. Non è l’unico sistema, ma è il più utilizzato per via della sua distribuzione gratuita perché open source. Più attività svolge un applicativo simultaneamente, più messaggi di report si necessitano di scrivere e più questi incidono sulla prestazione del computer. La funzione della libreria LogJ4 è quella di organizzare al meglio questa tipologia di lavoro in fase di scrittura. Essendo una libreria, un pezzo di Java, viene impiegato in tantissimi software sia pubblici che privati e lo si può metaforicamente paragonarlo all’avere un “bullone” marcio nelle ruote di tutte le auto del mondo.


Chi utilizza Log4j?


La libreria è fornita dalla Apache Software Foundation ed è open source: motivo per il quale è molto diffusa all’interno di diversi applicativi e questo vuol dire che ci troviamo dinanzi ad una vulnerabilità che può generare un attacco capace di raggiungere il massimo previsto dalla scala di rischio di compromissione dei sistemi informatici. Il problema quindi non è solo esteso all’omonima piattaforma Apache Web Server, come molti sono portati a credere e precisiamo ben diversa da Apache Software Foundation, ma a tutti gli applicativi sviluppati in Java che utilizzano questa specifica libreria per la generazione di log.

Perchè Log4j non è Java come molti erroneamente sostengono

Nei giorni precedenti, abbiamo dato la notizia dell’attacco informatico ai danni del sito di web di sesso in cam per adulti. Secondo gli esperti, potrebbe essere stato uno dei tanti campanelli di allarme visto che la piattaforma bucata si appoggiava su Elastic ed i fattori di vulnerabilità non sono mai stati svelati e forse compresi fino ad oggi. Oltre ad Elastic e Minecraft, per farvi un esempio di utilizzo della libreria in questione, basti pensare che Log4j gira anche su diversi prodotti VMWARE (Horizon, vCenter), Hadoop (molto usato sui server di Google). La lista è lunga ed è consultabile a questo link


Minecraft e lo 0-day che può distruggere tutto


La vulnerabilità Log4j cve-2021-44228 permette l’esecuzione di codice remoto semplicemente digitando una stringa specifica in una casella di testo. È stato scoperto per la prima volta dai giocatori di Minecraft, ma presto ci si è resi conto che questa vulnerabilità non era solo un exploit del famoso videogame che appassiona i bambini di tutto il mondo, ma funziona su ogni programma che utilizza la libreria Log4j. Lo 0-day, denominato Jlog4shell, funziona fino alle versioni 2.x ed è in grado di inviare dati in un formato errato, consentendo l’esecuzione di un codice inviato e richiesto da un malintenzionato. Il perché presenta questa falla sembra essere chiaramente collegato ad un errore concettuale in fase di sviluppo: invece di prendere nota ed attenersi al suo compito, la libreria assurge anche a “fare cose” ed è quest’ultima azione il difetto originale, che si è rivelato mortale, perché secondo gli esperti interpellati

un programa di logging NON DEVE fare questo

Exploit per lanciare 0-day Jlog4shell

Nella foto in alto è pubblicato il codice dell’exploit che in sintesi è un programma java che si può eseguire su un qualsiasi pc, chiede ip e porta del server che ha in esecuzione log4j ed apre una shell remota dove è possibile eseguire il codice che si vuole e che risulta ancora 0-day, quindi irrisolto.

La corsa ai ripari per salvare la rete dall’approssimazione delle big tech


La comunità informatica, composta da privati e aziende, sta procedendo allo sviluppo di correttivi al software ed è stata rilasciata dapprima la versione 2.15.0 e poi la versione 2.16.0, scaricabile su github, ed è in arrivo verso la fine della settimana anche la versione 2.17.0 secondo indiscrezioni raccolto nell’ambiente circostante a chi si sta dando da fare nel poter intervenire sulla vicenda. Per risolvere il problema, gli amministratori di sistema devono patchare a mano il codice binario della propria installazione, non esiste aggiornamento ed anche l’ultima versione conserva ancora il bug. Un dettaglio da non trascurare visto che, nella foto che segue, su piattaforma Linux Debian, quella più lenta nel rilascio degli aggiornamenti, figurano solo tre prodotti dell’universo Elastic ed il Google Chrome.

Una coincidenza? Non è dato saperlo

Così come è vero che le multinazionali che ad oggi tremano per uno 0-day applicato ad un prodotto open source, dovrebbero iniziare a pensare di pagare gli sviluppatori di questi applicativi per poterli personalizzare sulla base delle proprie esigenze oppure pretendere dai loro innumerevoli dipendenti di fare attenzione nell’utilizzare un prodotto preso dalla rete senza averlo adattato alle proprie esigenze. Se qualcuno ci avesse pensato, il problema sarebbe stato già noto, e sorprende che Google, Amazon e soci, per ottimizzare il tempo, si affidano ai codici open source forse anche per risparmiare soldi. Nonostante non ne abbiano bisogno.


Open source affidabile?


Il problema dell’Open source è questo. Matrice Digitale utilizza e promuove la diffusione degli strumenti a codice sorgente aperto, ma è pur vero che il messaggio che questa redazione lancia è volto sempre a far comprendere che il codice aperto non è sinonimo di sicurezza come molti vogliono far credere. Più volte abbiamo parlato dei bug di Tor, più volte abbiamo detto che i bug su piattaforme aperte o considerate sicure perché chiuse, vengono scoperti dopo molto tempo ed il motivo è semplice: gli sviluppatori dei codici aperti sono degli attivisti.

E nonostante questo “hobby” Log4j resta il miglior programma di logging sul mercato

Persone che non mangiano grazie al loro contributo preziosissimo dato al mondo dell’informatica con applicativi e sistemi operativi che tutto il globo utilizza “a gratis”, ma hanno una vita ed un lavoro che li distrae dal seguire costantemente l’evoluzione delle loro creature che necessitano di aggiornamenti per far fronte alle mutazioni repentine del mondo IT, colpevoli di stravolgere la stabilità e la sicurezza degli strumenti informatici. Quindi non sarebbe surreale immaginare lo sviluppatore di questa libreria famosissima in tutto il mondo perché migliore nel suo genere, fatta per passione e condivisione, appena avuto conoscenza del bug che ha messo a soqquadro la rete Internet, non abbia pensato che vi avrebbe potuto mettere mano solo dopo aver consegnato un lavoro di altro genere, che però gli fornisce il pane quotidiano e non la semplice gloria.

Notizie

Apple rilascia la quarta Beta di iOS 17.4, iPadOS 17.4, watchOS 10.4 e tvOS 17.4 e la terza di visionOS 1.1

Tempo di lettura: 3 minuti. Apple lancia la terza beta di visionOS 1.1 e la quarta beta di watchOS 10.4 agli sviluppatori, introducendo miglioramenti e nuove funzionalità.

Pubblicato

in data

iOS 17.4
Tempo di lettura: 3 minuti.

Apple ha rilasciato la quarta beta degli aggiornamenti imminenti iOS 17.4 e iPadOS 17.4 agli sviluppatori per scopi di test. Queste beta arrivano una settimana dopo il rilascio della terza beta e introducono importanti cambiamenti per l’App Store e le app nell’Unione Europea, come la possibilità di utilizzare marketplace di app alternativi, sistemi di pagamento terzi, supporto per motori di browser di terze parti e accesso NFC per banche e fornitori di pagamenti terzi. Tuttavia, queste funzionalità saranno limitate all’UE e non saranno disponibili in altri paesi.

Oltre a questi aggiornamenti, iOS 17.4 aggiunge nuovi caratteri emoji, trascrizioni per podcast nell’app Podcast, supporto per l’utilizzo di SharePlay con HomePod, attività in tempo reale per il cronometro e altro ancora.

watchOS 10.3
watchOS 10.3

Contestualmente, Apple ha rilasciato la quarta beta di watchOS 10.4 agli sviluppatori. Questo aggiornamento segue la terza beta rilasciata la settimana precedente e fa parte del processo di sviluppo continuo di Apple per migliorare e aggiornare i suoi sistemi operativi.

Apple ha rilasciato la quarta beta dell’aggiornamento tvOS 17.4 agli sviluppatori per scopi di test, segnando il proseguimento del ciclo di sviluppo dopo il rilascio della terza beta. Gli sviluppatori registrati possono scaricare l’aggiornamento tvOS 17.4 attraverso l’app Impostazioni sull’Apple TV. Le release di tvOS tendono a concentrarsi su miglioramenti minori piuttosto che su cambiamenti evidenti all’utente.

Apple annuncia tvOS 17

Una delle novità di tvOS 17.4 è l’aggiunta del supporto per Apple Music SharePlay sull’Apple TV, permettendo agli utenti di generare un codice QR di Apple Music che può essere scansionato da chiunque per contribuire alla riproduzione musicale tramite Apple Music, anche senza la necessità di un abbonamento.

Inoltre, in tvOS 17.4 sono state trovate referenze a homeOS, ma non è ancora chiaro cosa sia effettivamente homeOS. L’aggiornamento tvOS 17.4 è previsto per il rilascio a marzo, insieme a iOS 17.4.

telegram visionOS
visionOS

Apple ha rilasciato la terza beta di visionOS 1.1 agli sviluppatori, consentendo loro di testare le nuove funzionalità prima del lancio pubblico del software. Questa versione segue la seconda beta rilasciata una settimana fa e introduce il supporto per iMessage Contact Key Verification e la gestione dei dispositivi Apple nel Vision Pro. Ciò permette ai reparti IT di aziende e istituti educativi di gestire i headset Vision Pro come fanno con iPhone, iPad e Mac. La beta di visionOS 1.1 migliora anche le Personas, rendendole più naturali e realistiche.

Entrambe le beta sono disponibili per gli sviluppatori tramite l’app Impostazioni sui dispositivi rispettivi, con l’invito a effettuare un backup prima di installare il nuovo software. Questi aggiornamenti sottolineano l’impegno di Apple nel fornire funzionalità avanzate e miglioramenti alla sicurezza per i suoi dispositivi, migliorando l’esperienza utente e offrendo nuove capacità di gestione per le organizzazioni.

Prosegui la lettura

Notizie

LockBit, indirizzi di portafogli cripto sono in lista nera

Tempo di lettura: < 1 minuto. Gli Stati Uniti vietano gli indirizzi crittografici legati al gruppo di ransomware LockBit dal sistema finanziario, a seguito di un’operazione di repressione internazionale.

Pubblicato

in data

Tempo di lettura: < 1 minuto.

Il Dipartimento del Tesoro degli Stati Uniti ha aggiunto quasi una dozzina di indirizzi Bitcoin ed Ether alla sua lista nera globale, accusandoli di essere utilizzati da fornitori di ransomware. L’Ufficio di Controllo degli Asset Stranieri (OFAC) ha nominato Artur Sungatov e Ivan Kondratyev, due cittadini russi, e identificato 10 indirizzi Bitcoin ed Ether (nessuno dei quali conteneva fondi al momento della stampa) in una dichiarazione di martedì, vietando alle entità statunitensi di fornire qualsiasi tipo di servizi finanziari ai due. Secondo l’OFAC e il Dipartimento di Giustizia degli Stati Uniti, fanno parte del gruppo di ransomware LockBit, uno dei distributori di ransomware più prolifici al mondo, accusato di aver rubato oltre 120 milioni di dollari a più di 2.000 vittime negli ultimi anni.

Gli attacchi di ransomware permettono agli attori malevoli di bloccare le vittime fuori dai loro computer e reti a meno che non paghino una tassa, spesso in criptovaluta.

Uno sforzo internazionale del DOJ, Europol, l’Agenzia Nazionale per la Criminalità del Regno Unito e agenzie di vari altri paesi ha sequestrato il sito web di LockBit e varie pagine all’inizio di questa settimana in un’operazione soprannominata Operazione Cronos. Le agenzie di applicazione della legge hanno annunciato che distribuiranno le chiavi di decrittazione alle vittime, permettendo loro di riaccedere ai loro dispositivi.

Secondo un comunicato stampa di Europol, oltre 200 conti di criptovaluta legati a LockBit sono stati congelati, mentre le autorità negli Stati Uniti, nel Regno Unito e nell’UE hanno sequestrato varie parti dell’infrastruttura del gruppo di ransomware.

Alcuni degli indirizzi elencati dall’OFAC martedì erano indirizzi di deposito per KuCoin, Coinspaid e Binance, secondo i dati di Arkham Intelligence. Le vittime di LockBit includevano entità comunali e aziende private in tutto il mondo.

Prosegui la lettura

Notizie

Software live per contabilità parallela: 33 milioni non dichiarati al fisco

Tempo di lettura: < 1 minuto. Indagine a Bari rivela evasione fiscale di 33 milioni di euro da parte di 47 odontoiatri tramite software “Suite Medical Gold”. Sequestrati 5 milioni di euro.

Pubblicato

in data

Guardia di Finanza
Tempo di lettura: < 1 minuto.

Un’indagine della Guardia di Finanza di Bari ha portato alla luce un sofisticato sistema di evasione fiscale orchestrato da 47 odontoiatri nelle regioni di Puglia e Basilicata, sottraendo a tassazione 33 milioni di euro attraverso l’uso di un software gestionale denominato “Suite Medical Gold”. Questo software permetteva di mantenere una contabilità parallela, eludendo i controlli fiscali. A seguito delle indagini, sono stati sequestrati beni per un valore di 5 milioni di euro, ritenuti il profitto della dichiarazione fraudolenta effettuata dagli odontoiatri per gli anni dal 2016 al 2020.

I controlli sono iniziati dopo una verifica presso lo studio di un odontoiatra a Casamassima, che, grazie all’ausilio dell’ingegnere informatico fornitore del software, era in grado di tenere una contabilità occulta. L’accesso al software era consentito inserendo una pendrive e digitando una password, permettendo di registrare transazioni non documentate. Inoltre, alcuni pazienti hanno confermato di aver pagato in contanti senza ricevere fatture.

Il Procuratore di Bari, Roberto Rossi, ha enfatizzato l’importanza di richiedere sempre ricevute e fatture, sottolineando come l’evasione fiscale danneggi l’intera comunità e lasci debiti alle future generazioni. Il Procuratore Aggiunto, Giuseppe Maralfa, ha rivelato che le imposte direttamente evase ammontano a 14 milioni di euro, evidenziando la gravità del sistema di evasione scoperto.

Questa operazione mette in luce l’ingegnosità dei metodi di evasione fiscale e l’importanza delle indagini approfondite per assicurare la giustizia fiscale e proteggere le risorse pubbliche.

Prosegui la lettura

Facebook

CYBERSECURITY

NSO Group: cambia proprietario NSO Group: cambia proprietario
Notizie12 ore fa

NSO Group è capace di estrarre dati dagli smartphone senza l’interazione della vittima

Tempo di lettura: 2 minuti. La nota azienda israeliana di spyware commerciale NSO Group è stata recentemente al centro dell’attenzione...

Playstation Portal Hackerato da ingegneri di Google Playstation Portal Hackerato da ingegneri di Google
Notizie12 ore fa

Il PlayStation Portal di Sony hackerato da ingegneri di Google

Tempo di lettura: < 1 minuto. Ingegneri di Google hanno hackerato il PlayStation Portal di Sony per eseguire giochi PSP...

Notizie13 ore fa

97.000 server Microsoft Exchange vulnerabili ad attacchi NTLM relay

Tempo di lettura: 2 minuti. Oltre 28.500 server Exchange sono a rischio a causa di CVE-2024-21410, con gli hacker che...

WordPress Bricks WordPress Bricks
Notizie1 giorno fa

WordPress, falla critica RCE in Bricks sfruttata dagli hacker

Tempo di lettura: < 1 minuto. Una falla critica RCE nel tema Bricks Builder di WordPress, identificata come CVE-2024-25600, viene...

Wyze Wyze
Notizie1 giorno fa

Wyze Camera Breach: intrusione espone la Privacy e la sicurezza di 13.000 Utenti

Tempo di lettura: 3 minuti. Wyze affronta una grave violazione della sicurezza che ha esposto le immagini private di 13.000...

Notizie1 giorno fa

KeyTrap: come una singola richiesta DNS può disabilitare l’accesso a Internet

Tempo di lettura: 2 minuti. Scopri KeyTrap, una vulnerabilità in DNSSEC che consente l'interruzione dell'accesso a Internet con una singola...

anatsa anatsa
Notizie1 giorno fa

Trojan Android Anatsa elude la sicurezza di Google Play e si diffonde in Europa

Tempo di lettura: 2 minuti. Il trojan bancario Android Anatsa elude la sicurezza di Google Play dimostrando la capacità di...

Agid Agid
Notizie2 giorni fa

Digitale nella PA, AGID vara il Piano Triennale 2024-2026

Tempo di lettura: 3 minuti. Agid vara il Piano Triennale 2024-2026 per l'informatica nella PA italiana e mira a accelerare...

Notizie3 giorni fa

Hai perso il tuo numero di telefono? Il tuoi Account sono a rischio

Tempo di lettura: 2 minuti. Meta ignora il rischio di furto di account tramite il riciclo dei numeri di telefono,...

Notizie3 giorni fa

Malware Bumblebee ritorna dopo una pausa di 4 Mesi con una campagna phishing

Tempo di lettura: 2 minuti. Dopo una pausa di quattro mesi, il malware Bumblebee torna a colpire con nuove campagne...

Truffe recenti

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste2 giorni fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia1 mese fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie2 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie3 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie3 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie4 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie4 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie4 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online5 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Notizie5 mesi fa

Nuovo avviso della Polizia Postale: attenzione allo “Spoofing telefonico”

Tempo di lettura: 2 minuti. Attenzione ai tentativi di truffa tramite "Spoofing telefonico": la Polizia Postale avvisa e fornisce consigli...

Tendenza