Altro che “falla” di sistema. Log4Shell è diventato un problema di sicurezza (inter)nazionale. La vulnerabilità zero-day della libreria Java scoperta a novembre da Alibaba toglie il sonno da giorni all’Agenzia per la cybersicurezza nazionale (Acn) guidata da Roberto Baldoni. Che intanto ha lanciato l’allarme ai naviganti, parlando in un comunicato di “una vasta e diversificata superficie di attacco sulla totalità della rete”.

Ridurre quella superficie è ora la priorità dei tecnici che lavorano al dossier, non solo in Italia. Questo giovedì un convegno a Bari è diventato il pretesto per un incontro operativo e dietro le quinte tra l’Acn e la sua “gemella” israeliana, il Direttorato nazionale cyber israeliano (Incd). A dirigere i lavori da una parte Baldoni, dall’altra il direttore generale dell’agenzia israeliana Yigal Una, entrambi intervenuti alla conferenza “Cybersecurity for digital transformation”. Un confronto fra best practice – Israele è uno dei Paesi con la cultura cibernetica più sviluppata al mondo – ma anche un’occasione per delineare un piano d’azione.

Log4Shell è “il paradiso degli hacker”, ha detto a Formiche.net l’esperto Corrado Giustozzi. Ne sono convinti a Largo Santa Susanna: Log4J di Java è tra i più diffusi software open source al mondo. Per di più è facile da usare: e infatti da quando la vulnerabilità è stata scoperta sono già 800mila gli hacker che nel mondo ne hanno approfittato, tra chi installa programmi per “fabbricare” bitcoin e chi usa il varco aperto per chiedere riscatti ad aziende e governi.

Anche l’Italia è nell’occhio del ciclone. Il modus operandi seguito dall’Acn ricalca in parte quello seguito dagli 007 del Dis di fronte all’emergenza SolarWinds, l’operazione di spionaggio cibernetico (attribuita a Mosca dall’intelligence Usa) che ha messo in allerta i Servizi di mezzo mondo. In queste ore l’Acn sta mantenendo contatti diretti e offrendo supporto ad aziende e amministrazioni incluse nel “Perimetro cyber”, cioè tutte quelle che svolgono “servizi essenziali” per lo Stato, sotto lo sguardo vigile del Nucleo per la cybersicurezza.

La priorità è mettere in sicurezza la PA centrale: ministeri, agenzie, enti pubblici sensibili per la sicurezza nazionale. Una alla volta, i tecnici devono individuare la vulnerabilità e “patcharla”, cioè correggere il software aggiornandolo. I tempi stringono, ogni giorno che passa l’esposizione ai cyber-criminali può fare danni.

Chi si occupa dell’emergenza parla di “pericolo altissimo”. Né si conoscono precedenti di questa portata, almeno nel recente passato. Perfino WannaCry, il ransomware che nel maggio del 2017 ha infettato i sistemi informatici di aziende e organizzazioni in tutto il mondo, è considerata una minaccia non paragonabile a Log4Shell. Semplicità di utilizzo e diffusione su scala mondiale sono gli ingredienti che fanno della vulnerabilità di Java un pericolo su scala globale.

Di qui il coordinamento internazionale, con i colleghi israeliani e non solo. Un primo banco di prova non banale per l’Agenzia voluta da Mario Draghi e costruita con la regia dell’Autorità delegata Franco Gabrielli, pronta a ingrossare le sue fila. La scorsa settimana il premier ha firmato i decreti attuativi e a inizio 2022 partiranno i concorsi per le nuove assunzioni.