Log4Shell e le prospettive a lungo termine: per quanto ne sentiremo parlare?

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...re_103298.html

La vulnerabilità Log4Shell è a pieno titolo la più grave mai scoperta fino ad ora. Le ripercussioni sul lungo termine potrebbero essere numerose, variegate e imprevedibili

Click sul link per visualizzare la notizia.

[Axios2006]

Quote:

Progetti che molto di frequente sono nati come semplicemente come strumenti personali ma che poi, come è il caso attuale, sono stati largamente utilizzati anche da grandi realtà commerciali senza che vengano da queste partecipati né finanziariamente, né dal punto di vista di sforzi di sviluppo e mantenimento.

E come spesso capita, grattacieli con fondamenta di burro.

Ma possibile che in progetti open source nessuno si disturbi a dare un'occhiatina al codice?

Aziende che spendono milioni in beni e servizi "fisici" e poi hanno il braccino corto per il dipartimento IT.

[coschizza]

Quote:

Originariamente inviato da Axios2006

E come spesso capita, grattacieli con fondamenta di burro.

Ma possibile che in progetti open source nessuno si disturbi a dare un'occhiatina al codice?

Aziende che spendono milioni in beni e servizi "fisici" e poi hanno il braccino corto per il dipartimento IT.

Puoi guardare il codice riga per riga ma questo non vuol dire neppure lontanamente trovare una falla per quella ci possono volere decenni

[aqua84]

Quote:

Originariamente inviato da coschizza

Puoi guardare il codice riga per riga ma questo non vuol dire neppure lontanamente trovare una falla per quella ci possono volere decenni

esatto

e di contro ci può essere (anzi c'è sicuramente) chi guarda riga per riga, trova una falla e la sfrutta senza dire niente, o se la "rivende"

[frankie]

Al manager non importa cosa, ma che costi zero e che sia fatto per IERI. C'è margine per studiare soluzioni nuove o aggiornare quelle vecchie?
No.
Così una vecchia libreria viene utilizzata da eoni di servizi senza essere mai controllata o analizzata (da quanto ho capito bastava solo aggiungere ${} e nelle graffe potevi mettere la qualunque). Cioè nessun filtro in ingresso.

[xarz3]

Secondo me voi non vi rendete conto di quanto complesso sia sviluppare un software. In bocca al lupo a programmare senza affidarsi a librerie di terzi per niente, e questi terzi spesso sono volontari con passione che rilasciano a compenso zero software eccellenti.

nessun software e' perfetto e non si puo' pretendere nulla da chi lavora per la comunita' gratis. E non si puo nemmeno pretendere che multinazionali riverifichino tutto il codice open source da capo e in maniera infallibile.

Ok ci sono le falle, ma e' la natura del gioco, francamente non riesco a pensare ad uno scenario senza open source, torneremmo all'eta' della pietra.

il vero problema sono i produttori che non corrono a patchare quando necessario...

[LMCH]

Quote:

Originariamente inviato da Axios2006

E come spesso capita, grattacieli con fondamenta di burro.

Ma possibile che in progetti open source nessuno si disturbi a dare un'occhiatina al codice?

Eppure il motivo per cui chi può usa software open source é la maggior robustezza.
Nel caso di software closed source la situazione é mediamente peggiore, per il semplice motivo che c'é meno gente che può dare un occhiata ai sorgenti.
E no, il codice open source non favorisce i blackhat, proprio perché rispetto al sw closed source é più probabile che qualcuno noti il problema e lo risolva oppure che faccia modifiche per migliorare qualcosa ed indirettamente elimini anche la vulnerabilità.

[cdimauro]

Mi pare che i casi di OpenSSH prima e di Log4J (e, sebbene in misura minore, Log4Shell) adesso dimostrino l'esatto contrario, invece.

[Alfhw]

Quote:

Originariamente inviato da LMCH

Eppure il motivo per cui chi può usa software open source é la maggior robustezza.
Nel caso di software closed source la situazione é mediamente peggiore, per il semplice motivo che c'é meno gente che può dare un occhiata ai sorgenti.
E no, il codice open source non favorisce i blackhat, proprio perché rispetto al sw closed source é più probabile che qualcuno noti il problema e lo risolva oppure che faccia modifiche per migliorare qualcosa ed indirettamente elimini anche la vulnerabilità.

Quote:

Originariamente inviato da cdimauro

Mi pare che i casi di OpenSSH prima e di Log4J (e, sebbene in misura minore, Log4Shell) adesso dimostrino l'esatto contrario, invece.

E' una cosa che mi sono spesso chiesto anch'io. L'open source è analizzabile da tutti ma i bug di sicurezza vengono scoperti prima dagli hacker buoni o da quelli cattivi? Avendo a disposizione il codice sorgente è più facile correggere i bug ma forse è anche più facile sfruttarli?
Non è che forse dipende anche dalla difficoltà dei bug? Forse bug semplici vengono scoperti con una semplice occhiata (e quindi corretti in fretta) mentre bug complicati vengono scoperti solo se qualcuno ci si mette d'impegno settimane o mesi a cercare nel codice? Perché nel secondo caso allora forse gli hacker cattivi sono avvantaggiati dato che non fanno altro che cercarli e che forse numericamente più dei dei ricercatori di sicurezza? E probabilmente anche più motivati per i possibili guadagni.
E magari dipende anche dal tipo di bug? Forse certi tipi di bug si scoprono più (troppo) facilmente nell'open source che nel closed? Ma allora il closed potrebbe essere favorito perché certi bug non verranno mai scoperti?

Tutto molto IMHO. Queste sono solamente un paio di mie considerazioni ma non sono un bug-hunter quindi potrei aver anche detto delle fesserie. Però la questione mi sembra un po' spinosa.

[cdimauro]

Quote:

Originariamente inviato da Alfhw

E' una cosa che mi sono spesso chiesto anch'io. L'open source è analizzabile da tutti ma i bug di sicurezza vengono scoperti prima dagli hacker buoni o da quelli cattivi?

A questa domanda non si può rispondere in maniera definitiva: dipende tutto da chi arriva a prima scovare una falla di sicurezza.

Quote:

Avendo a disposizione il codice sorgente è più facile correggere i bug ma forse è anche più facile sfruttarli?

La sfruttabilità dei un bug dipende soltanto dalla sua natura, e non da fatto che sia stato trovato leggendo il codice sorgente o il disassemblato del binario.

C'è da dire che a volte il disassemblato potrebbe anche mostrare delle problematiche non sono immediatamente visibili dal codice originale.

Quote:

Non è che forse dipende anche dalla difficoltà dei bug? Forse bug semplici vengono scoperti con una semplice occhiata (e quindi corretti in fretta) mentre bug complicati vengono scoperti solo se qualcuno ci si mette d'impegno settimane o mesi a cercare nel codice?

In questo caso non parliamo di bug "normali", ma di falle di sicurezza. Trovare una falla di sicurezza può essere molto più difficile che trovare un normale bug, perché non ne sono immediatamente visibili gli effetti. Questo perché tante volte la falla viene a galla soltanto a causa di una concatenazione di bug/fattori. Quindi che ci siano delle particolari condizioni, che possono essere veramente difficili da immaginare.

Quote:

Perché nel secondo caso allora forse gli hacker cattivi sono avvantaggiati dato che non fanno altro che cercarli e che forse numericamente più dei dei ricercatori di sicurezza? E probabilmente anche più motivati per i possibili guadagni.

Secondo me è una questione di mentalità: i cracker (ossia gli hacker "cattivi") sono allenati ad analizzare il codice immaginando gli scenari più assurdi per cercare di sfruttare possibili falle. E sono fortemente motivati dai guadagni, ovviamente.

E' più di un lavoro, insomma: è una sfida che si unisce a un'insaziabile ingordigia.

C'è, ad esempio, un'analisi che è stata fatto riguardo al bug delle emoticon di iOS (se non ricordo male) che mostra quanto assolutamente geniale sia stato il modo in cui il cracker sia riuscito a trovare il modo si sfruttarla. E' roba che ti frigge il cervello a leggerla, se non hai avuto modo di lavorare in questo campo.

Non so se ricercatori di sicurezza siano mossi da motivazioni altrettanto forti.

Quote:

E magari dipende anche dal tipo di bug? Forse certi tipi di bug si scoprono più (troppo) facilmente nell'open source che nel closed?

No. Come già detto prima, i bug non hanno nulla a che vedere col fatto che siano stati scoperti leggendo il codice sorgente o il disassemblato di un binario.

Quote:

Ma allora il closed potrebbe essere favorito perché certi bug non verranno mai scoperti?

La mia personalissima opinione è... sì. Questo perché è più difficile analizzare binari e cercare di capire se ci siano falle sfruttabili.

Chi ha i sorgenti ha la vita di gran lunga più facile. E questo vale sia per i ricercatori di sicurezza, sia soprattutto per i cracker.

C'è da dire che al momento i binari sono ancora disassemblabili. Ma ciò non sarà più possibile quando le tecnologie di Secure Enclave & memoria crittografata (in tempo reale) diventeranno comuni, per cui andare a caccia di bug in codice closed sarà possibile esclusivamente provando a richiamare API / funzioni passando loro particolari valori per i loro parametri. Quindi non dico che sarà impossibile trovare bug/falle, ma mostruosamente difficile.

A mio avviso i cracker lavoreranno per lo più su progetti open source, quando ciò succederà.

Quote:

Tutto molto IMHO. Queste sono solamente un paio di mie considerazioni ma non sono un bug-hunter quindi potrei aver anche detto delle fesserie. Però la questione mi sembra un po' spinosa.

Lo è sicuramente.

D'altra parte Log4J ha rappresentato un punto di svolta, di non ritorno, similmente alle falle di sicurezza di tipo side-effect. O, per parlare di un discorso analogo in un altro campo, c'è un prima e il dopo il Covid.
Il futuro, insomma, non sarà più lo stesso, dopo di loro.

[Alfhw]

Quote:

Originariamente inviato da cdimauro

La sfruttabilità dei un bug dipende soltanto dalla sua natura, e non da fatto che sia stato trovato leggendo il codice sorgente o il disassemblato del binario.

C'è da dire che a volte il disassemblato potrebbe anche mostrare delle problematiche non sono immediatamente visibili dal codice originale.

Pardon, volevo scrivere "trovarli" e non "sfruttarli". Comunque non importa.

Quote:

In questo caso non parliamo di bug "normali", ma di falle di sicurezza. Trovare una falla di sicurezza può essere molto più difficile che trovare un normale bug, perché non ne sono immediatamente visibili gli effetti. Questo perché tante volte la falla viene a galla soltanto a causa di una concatenazione di bug/fattori. Quindi che ci siano delle particolari condizioni, che possono essere veramente difficili da immaginare.

D'accordo ma intendevo che i bug di sicurezza non sono tutti della stessa difficoltà. Alcuni sono evidenti e un occhio esperto li nota leggendo anche velocemente il codice sorgente, altri invece sono molto nascosti. Mi chiedevo quindi se la disponibilità del codice sorgente come nell'open source favorisse più che altro la scoperta di bug facili mentre per i bug difficili rimangono lì per molto tempo. L'open source ha sempre decantato la disponibilità del codice sorgente come un vantaggio per scoprire e correggere prima i bug però mi domando se questo vantaggio valga solo per bug facili ed evidenti mentre per bug difficili e nascosti possa invece essere uno svantaggio perché allora i cracker possono studiare per mesi anche il codice sorgente oltre al disassemblato.

Quote:

Secondo me è una questione di mentalità: i cracker (ossia gli hacker "cattivi") sono allenati ad analizzare il codice immaginando gli scenari più assurdi per cercare di sfruttare possibili falle. E sono fortemente motivati dai guadagni, ovviamente.

E' più di un lavoro, insomma: è una sfida che si unisce a un'insaziabile ingordigia.

Basta scoprire un bug che ti fa installare un po' di ramsonware e puoi potenzialmente guadagnare milioni se colpisci grosse aziende come è successo tempo fa con la condotta petrolifera in USA...

Quote:

Non so se ricercatori di sicurezza siano mossi da motivazioni altrettanto forti.

Infatti non è un caso che diverse aziende software paghino premi in denaro per la scoperta di bug. Ma forse dovrebbero pagare di più.

Quote:

La mia personalissima opinione è... sì. Questo perché è più difficile analizzare binari e cercare di capire se ci siano falle sfruttabili.

Chi ha i sorgenti ha la vita di gran lunga più facile. E questo vale sia per i ricercatori di sicurezza, sia soprattutto per i cracker.

E' quello che ho sempre sospettato. Nell'open hai sorgente+disassemblato mentre nel closed hai solo il disassemblato. L'open ha sempre puntato sul "buon samaritano" che dà un occhiata al codice sorgente e corregge il bug ma come scritto sopra temo che valga solo per i bug facili ed evidenti mentre per i bug difficili temo che i cracker siano più motivati.

Quote:

A mio avviso i cracker lavoreranno per lo più su progetti open source, quando ciò succederà.

Lo è sicuramente.

Già, è una questione spinosa. Bisognerebbe chiederlo a qualche cracker ma credo che ognuno si tenga i propri segreti...
Poi a volte è difficile intavolare un ragionamento perché arrivano i fanboy ma questo è un altro discorso.

[cdimauro]

Quote:

Originariamente inviato da Alfhw

Pardon, volevo scrivere "trovarli" e non "sfruttarli". Comunque non importa.

OK. Ma anche sul trovarli ti ho poi risposto.

Quote:

D'accordo ma intendevo che i bug di sicurezza non sono tutti della stessa difficoltà. Alcuni sono evidenti e un occhio esperto li nota leggendo anche velocemente il codice sorgente, altri invece sono molto nascosti. Mi chiedevo quindi se la disponibilità del codice sorgente come nell'open source favorisse più che altro la scoperta di bug facili mentre per i bug difficili rimangono lì per molto tempo. L'open source ha sempre decantato la disponibilità del codice sorgente come un vantaggio per scoprire e correggere prima i bug però mi domando se questo vantaggio valga solo per bug facili ed evidenti mentre per bug difficili e nascosti possa invece essere uno svantaggio perché allora i cracker possono studiare per mesi anche il codice sorgente oltre al disassemblato.

Come già detto, la possibilità di esaminare i sorgenti facilita sicuramente la caccia dei bug, e questo a prescindere dalla semplicità o complessità degli stessi.

Ma vale, appunto, per tutti: sia per chi ci lavora (maintainer & esperti di sicurezza) sia per i cracker.

Quote:

Infatti non è un caso che diverse aziende software paghino premi in denaro per la scoperta di bug. Ma forse dovrebbero pagare di più.

Il problema è che non potrebbero mai pagare abbastanza.

Quando un potenziale bug potrebbe farti guadagnare facilmente anche milioni di dollari (a volte pure centinaia: vedi i casi cracker che hanno svaligiato exchange di criptovalute), capisci bene che sono i criminali ad avere le motivazioni più forti.

Non c'è competizione, insomma: i buoni non possono e non saranno mai pagati abbastanza da rendere preferibile il loro lavoro anziché quello dei cattivi. E d'altra parte è proprio il motivo per cui la criminalità c'è ancora, e anzi prospera, specialmente nel mondo digitale.

Dobbiamo soltanto sperare che le falle vengano individuate anche dai buoni quanto prima, e che vengano sistemate. Non necessariamente in fretta, altrimenti si potrebbe finire ad aprire altre falle sfruttabili dai malintenzionati (vedi proprio il caso di Log4J, per l'appunto). Anche perché, empiricamente e statisticamente, è più difficile trovare falle in codice che ha già subito delle correzioni, perché psicologicamente si è portati a credere che non abbia più bug (mentre circa il 15%, se non ricordo male, dei nuovi bug nascono proprio da correzioni di bug).

Quote:

E' quello che ho sempre sospettato. Nell'open hai sorgente+disassemblato mentre nel closed hai solo il disassemblato. L'open ha sempre puntato sul "buon samaritano" che dà un occhiata al codice sorgente e corregge il bug ma come scritto sopra temo che valga solo per i bug facili ed evidenti mentre per i bug difficili temo che i cracker siano più motivati.

Vedi sopra su bug facili e difficili.

Per il resto penso sia evidente che ci sono sempre troppo pochi buoni samaritani...

Quote:

Già, è una questione spinosa. Bisognerebbe chiederlo a qualche cracker ma credo che ognuno si tenga i propri segreti...

Se hai scoperto la gallina dalle uova d'oro, difficilmente la dai anche agli altri. A meno che non ti fai pagare (come capita tante volte).

Quote:

Poi a volte è difficile intavolare un ragionamento perché arrivano i fanboy ma questo è un altro discorso.

Purtroppamente...

[Alfhw]

Quote:

Originariamente inviato da cdimauro

Come già detto, la possibilità di esaminare i sorgenti facilita sicuramente la caccia dei bug, e questo a prescindere dalla semplicità o complessità degli stessi.

Ma vale, appunto, per tutti: sia per chi ci lavora (maintainer & esperti di sicurezza) sia per i cracker.

Già, se però i cracker sono più motivati allora l'open source potrebbe avvantaggiare più lo sfruttamento malevolo dei bug che la loro correzione.
Il fatto è che l'open source ha sempre decantato l'apertura del codice come una virtù per correggere i bug (non solo di sicurezza) quindi avvantaggiandolo rispetto al closed source. Invece ultimamente sembra che quest'assioma stia scricchiolando. Se poi le tecnologie di crittografia che tu accennavi dovessero diffondersi allora quell'assioma potrebbe anche ribaltarsi a favore del closed source. Anche perché penso che nei prossimi anni la priorità in molti software sarà proprio la sicurezza.

Quote:

Il problema è che non potrebbero mai pagare abbastanza.

Quando un potenziale bug potrebbe farti guadagnare facilmente anche milioni di dollari (a volte pure centinaia: vedi i casi cracker che hanno svaligiato exchange di criptovalute), capisci bene che sono i criminali ad avere le motivazioni più forti.

Non c'è competizione, insomma: i buoni non possono e non saranno mai pagati abbastanza da rendere preferibile il loro lavoro anziché quello dei cattivi. E d'altra parte è proprio il motivo per cui la criminalità c'è ancora, e anzi prospera, specialmente nel mondo digitale.

Per il resto penso sia evidente che ci sono sempre troppo pochi buoni samaritani...

Purtroppo è vero però c'è anche da dire che tante aziende risparmiano sulla sicurezza che a volte per molti è un optional.

Quote:

Purtroppamente...

In certi forum di open source o di Linux forse ci avrebbero già bollati entrambi come peccatori...

[cdimauro]

Quote:

Originariamente inviato da Alfhw

Già, se però i cracker sono più motivati allora l'open source potrebbe avvantaggiare più lo sfruttamento malevolo dei bug che la loro correzione.
Il fatto è che l'open source ha sempre decantato l'apertura del codice come una virtù per correggere i bug (non solo di sicurezza) quindi avvantaggiandolo rispetto al closed source. Invece ultimamente sembra che quest'assioma stia scricchiolando.

Io lo ripeto da tantissimi anni, e portando le stesse motivazioni.

Comunque se adesso sembra che questo dogma stia vacillando è perché la sicurezza è entrata a far parte dell'informazione di massa, con notizie che vengono pubblicate anche nei giornali generalisti, per cui c'è parecchio martellamento mediatico.

Quote:

Se poi le tecnologie di crittografia che tu accennavi dovessero diffondersi allora quell'assioma potrebbe anche ribaltarsi a favore del closed source.

Esatto. I cracker preferiranno concentrare i loro sforzi su sistemi open source, perché riuscire a scoprire qualche falla facendo tentativi a caso chiamando delle API è oggettivamente un lavoro enorme che richiederebbe tempi biblici per ottenere qualcosa di sfruttabile.

Quote:

Anche perché penso che nei prossimi anni la priorità in molti software sarà proprio la sicurezza.

Sono già un po' di anni che viene investito parecchio sulla sicurezza, ma roba come Log4j certamente contribuirà a far aumentare gli investimenti.

Quote:

Purtroppo è vero però c'è anche da dire che tante aziende risparmiano sulla sicurezza che a volte per molti è un optional.

E' sempre una questione di soldi, alla fine: le aziende cercano di tagliare dove possono per ridurre i costi. Anche il ramo dell'albero sul quale sono appollaiate...

Quote:

In certi forum di open source o di Linux forse ci avrebbero già bollati entrambi come peccatori...

Ci sono abituato, ormai.

Sono nato, informaticamente parlando, coi sorgenti pubblicati nelle riviste dei primissimi anni '80. Sono cresciuto con quelli pubblicati nei dischetti di pubblico dominio di quel grand'uomo che fu Fred Fish. Ho contribuito, e continuo a contribuire, a progetti open source.

Ma oggi se non sei allineato al pensiero unico open sourciano ti ghettizzano. Se osi fare delle critiche ti inondano di letame. Peggio ancora se lo fai col software diversamente libero, perché arriva qualcuno dei numerosi freetard che ci sono in giro, e ti mette in croce come un eretico (tanti sono stati anche minacciati di morte da ciechi fanatici di questa nuova pseudo-religione. E non scherzo).

Un tempo si usava il software, di qualunque tipo esso fosse, purché fosse utile alle proprie esigenze. Non ci si facevano certi problemi, visto che il software era nato per aiutare l'uomo. Oggi è diventato uno schifo con tutte queste guerre ideologiche. Rimpiango i bei tempi della mia fanciullezza da informatico.

[LMCH]

Quote:

Originariamente inviato da Alfhw

Già, se però i cracker sono più motivati allora l'open source potrebbe avvantaggiare più lo sfruttamento malevolo dei bug che la loro correzione.

I veri cracker sono in inferiorità numerica rispetto all'insieme degli sviluppatori principali di un certo software, sviluppatori che contribuiscono saltuariamente o in ambiti più ristretti (es.: plugin o estensioni), utilizzatori con vere competenze nello sviluppo software, ecc.

L' aver accesso ai sorgenti favorisce molto più i secondi che i primi, sia per quel che riguarda la ricerca di bug/falle che per miglioramenti al software che indirettamente eliminano bug ... eliminando/modificando i sorgenti in cui era annidato.

[Alfhw]

Quote:

Originariamente inviato da LMCH

I veri cracker sono in inferiorità numerica rispetto all'insieme degli sviluppatori principali di un certo software, sviluppatori che contribuiscono saltuariamente o in ambiti più ristretti (es.: plugin o estensioni), utilizzatori con vere competenze nello sviluppo software, ecc.

Anche questo è vero però i cracker sono anche più motivati come parlavo sopra con cdimauro. Alla fine chi avrà la meglio? E' una domanda che mi pongo ormai da tempo.

Quote:

L' aver accesso ai sorgenti favorisce molto più i secondi che i primi, sia per quel che riguarda la ricerca di bug/falle che per miglioramenti al software che indirettamente eliminano bug ... eliminando/modificando i sorgenti in cui era annidato.

Una volta pensavo anch'io così ma ormai non ne sono più così sicuro. O forse il discorso è molto più complesso perché magari cambia a seconda della tipologia o difficoltà dei bug. Come dicevo nei messaggi sopra.

[cdimauro]

Quote:

Originariamente inviato da LMCH

I veri cracker sono in inferiorità numerica rispetto all'insieme degli sviluppatori principali di un certo software, sviluppatori che contribuiscono saltuariamente o in ambiti più ristretti (es.: plugin o estensioni), utilizzatori con vere competenze nello sviluppo software, ecc.

L' aver accesso ai sorgenti favorisce molto più i secondi che i primi, sia per quel che riguarda la ricerca di bug/falle che per miglioramenti al software che indirettamente eliminano bug ... eliminando/modificando i sorgenti in cui era annidato.

Stai mischiando tutto / cose diverse.

L'equivalente dei cracker sono i ricercatori nell'ambito della sicurezza, quindi non TUTTI quelli che lavorano sui sorgenti di un progetto open source.

Per il resto, e fatti alla mano, l'avere i sorgenti favorisce i cracker. E lo si è visto proprio con Log4J, che è stato lì nascosto per anni, nonostante l'enorme numero di sviluppatori che ci ha lavorato o che l'ha usato, coi sorgenti che gli passavano davanti gli occhi.

Se, come dici, dovessimo prendere tutti gli sviluppatori, e quindi non soltanto i ricercatori nella sicurezza, possiamo vedere che i cracker sono riusciti a fare molto meglio nonostante la netta inferiorità numerica. Quindi la situazione sarebbe anche più sbilanciata a loro favore.

E che sia così lo è dimostrato ancora una volta proprio da Log4J: uscita la patch per fissare questa falla, i cracker sono stati subito in grado di tirarne fuori 3 (se non ricordo male) perché la correzione dei "buoni" ha aperto altre porte. E questo nonostante chi ci lavora sia, a tuo dire, numericamente superiore rispetto ai cattivi. Ma evidentemente non così bravo come loro.

Il tutto senza tenere conto che ci saranno diversi milioni (forse miliardi, addirittura) di dispositivi che rimarranno affetti da Log4J, visto che non si possono aggiornare.

Da questo punto di vista i buoni possono correggere tutte le falle del mondo, ma i cracker faranno comunque festa: hanno vinto loro, comunque.

Quote:

Originariamente inviato da Alfhw

Anche questo è vero però i cracker sono anche più motivati come parlavo sopra con cdimauro. Alla fine chi avrà la meglio? E' una domanda che mi pongo ormai da tempo.

Penso che la risposta in questo caso sia molto semplice: ha la meglio chi è riuscito nel suo scopo...

Quote:

Una volta pensavo anch'io così ma ormai non ne sono più così sicuro. O forse il discorso è molto più complesso perché magari cambia a seconda della tipologia o difficoltà dei bug. Come dicevo nei messaggi sopra.

Risposto sopra.

[cdimauro]

Sempre sull'argomento: LOG4SHELL: HACKER SFRUTTANO LA FALLA SUI SERVER HP E DIVENTANO MILIONARI CON IL MINING

Gli hacker hanno attaccato poi soli i server HP dotati di CPU AMD EPYC, una delle più potenti al mondo e perfetta per il mining sulla blockchain su cui è basato Raptoreum, riuscendo a guadagnare quasi un milione di dollari in una settimana
[...]
l'exploit dei server di Raptoreum sarebbe durato dal 9 al 17 dicembre 2021, ed avrebbe prodotto il 30% del valore totale di Raptoreum in commercio, pari a circa 3.4 milioni di Dollari..

CVD