skip to Main Content

Jumpcloud Hacker

Log4j, la Casa Bianca interroga Apple, Amazon e Google sulla sicurezza

La Casa Bianca ha incontrato i dirigenti di Apple, Amazon, Google, Meta e Ibm e non solo per discutere della sicurezza del software a seguito di molteplici attacchi agli Stati Uniti che hanno sfruttato software open source

 

Apple, Google, Amazon, Facebook e altri colossi tecnologici chiamati a Washington per esplorare le minacce alla sicurezza per le dipendenze da software open source.

Ieri i dirigenti delle più importanti aziende tecnologiche statunitensi hanno partecipato a una riunione alla Casa Bianca sulla sicurezza informatica. Lo ha riportato per primo Reuters. L’incontro avviene a seguito di molteplici attacchi agli Stati Uniti che hanno sfruttato il software open source.

A dicembre, il consigliere per la sicurezza nazionale della Casa Bianca Jake Sullivan ha inviato una lettera agli amministratori delegati di aziende tecnologiche dopo la scoperta di una vulnerabilità di sicurezza nel software open source chiamato Log4j.

Il difetto in Log4j è una vulnerabilità zero-day (CVE-2021-44228) emersa per la prima volta il 9 dicembre. Il bug rende il linguaggio Java utilizzato da milioni di server web vulnerabile agli attacchi e i team di tutto il mondo stanno cercando di riparare i sistemi interessati prima che gli hacker possano sfruttarli.

Nella lettera, Sullivan ha osservato che tale software open source è ampiamente utilizzato. Pertanto rappresenta una “preoccupazione chiave per la sicurezza nazionale”.

Come nota Reuters, la sicurezza informatica è una priorità assoluta per l’amministrazione Biden dopo diversi importanti attacchi informatici lo scorso anno.

Tutti i dettagli.

L’INCONTRO ALLA CASA BIANCA

Al centro dell’incontro del 13 gennaio, ospitato dalla vice consulente per la sicurezza nazionale per la tecnologia informatica e emergente, Anne Neuberger, le preoccupazioni sulla sicurezza del software open source e su come può essere migliorato. Lo ha affermato la Casa Bianca in una nota.

LE AZIENDE CHE HANNO PARTECIPATO

Oltre a Apple, Google e Amazon le altre altre aziende tecnologiche presenti all’incontro erano: Ibm, Microsoft, Meta Platforms che possiede Facebook.

Al vertice ha partecipato anche la Apache Software Foundation, il proprietario e manutentore della libreria Log4j, e Oracle, proprietario della piattaforma software Java su cui gira la libreria Log4j. Erano rappresentati anche GitHub e la Linux Open Source Foundation, secondo The Verge.

INSIEME ALLE AGENZIE FEDERALI

Inoltre, oltre ai rappresentati dell’industria tecnologica erano presenti anche le agenzie governative, tra cui il Dipartimento per la sicurezza interna; il Dipartimento della difesa e il Dipartimento del commercio. Altre agenzie includono la Cybersecurity and Infrastructure Security Agency (Cisa), il National Institute of Standards and Technology e la National Science Foundation, secondo Cyberscoop.

DOPO SOLARWINDS, I TIMORI PER LA FALLA IN LOG4J

A rendere urgente l’incontro ci ha pensato quindi la scoperta della vulnerabilità nel software open source Log4j.

Questa discussione arriva anche dopo incidenti tra cui l’hacking SolarWinds del 2021 che ha avuto accesso a e-mail e telefoni del governo. Segue anche la violazione del Dipartimento del Tesoro degli Stati Uniti nel 2020.

Nel maggio 2021, ben prima che fosse scoperta la vulnerabilità di Log4j, il presidente Biden aveva emesso un ordine esecutivo sul miglioramento della sicurezza informatica degli Usa. Tra le altre cose, l’ordine imponeva alle agenzie del governo federale di rafforzare le loro catene di fornitura di software “garantedo e attestando, nella misura del possibile, l’integrità e la provenienza del software open source”.

Back To Top