Heartbleed logo

Solo in questi giorni è “esplosa la bomba” ma OpenSSL, uno dei protocolli più diffusi per lo scambio di dati cifrati, ha una falla che mette a rischio i dati degli utenti da circa due anni.

Forse a molti questa notizia potrà sembrare poco importante o riguardante solo gli addetti ai lavori ma, in realtà, Heartbleed coinvolge potenzialmente una larga fetta degli utenti del web.

Ma che cosa sono OpenSSL e Heartbleed?

OpenSSL è protocollo per lo scambio di informazioni crittografate. Quando accedete dal vostro PC, tablet o smartphone ad un servizio online, le password che digitate sono trasferite dal vostro dispositivo al server dove risiede il servizio in modo cifrato. E’ un protocollo largamente diffuso perchè installato su alcuni dei web server più utilizzati. Apache, per esempio.

Heartbleed è un errore di programmazione (come ha sostenuto Robin Seggelmann che lo ha introdotto) verificatosi durante lo sviluppo della feature “Heartbeat” (da cui Heartbleed) e che crea una falla nella crittografia dei dati. Nell’intervista rilasciata a Wired Seggelmann dice che si è trattata di una svista che non è stata notata nemmeno dai revisori di OpenSSL che avrebbero dovuto verificare il codice inviato.

Fatto sta che il problema esiste da due anni e correre ai ripari adesso potrebbe essere tardivo.

Heartbleed

Chi ne è colpito?

Come scritto sopra, alcuni dei più diffusi web server utilizzano OpenSSL e ciò significa che tutti i fornitori di servizi (social media, banking on line, forum on line, webmail, ecc) che li utilizzano sono potenzialmente rimasti esposti.

Si tratta, secondo alcune stime dei 2/3 dei siti mondiali. Questo è un documento di GitHub.com che mostra il test effettuato su un elenco dei servizi più diffusi.

Come comportarsi?

Aggiornate le vostre password e sperate che non sia tardi. Anche se la soluzione potrebbe essere vista come “chiudere la stalla dopo che i buoi sono scappati”, ciò potrà evitare che le vostre credenziali possano essere utilizzate da qui in avanti. Sempre che il servizio cui vi collegate abbia aggiornato i propri sistemi di sicurezza e sopperito al bug. Se non fosse così, aggiornate comunque le chiavi, ma ripetete l’operazione anche dopo che il provider avrà “tappato il buco”.

Per sapere fare un test dei servizi cui accedete abitualmente, vi rimandiamo a questo indirizzo che pubblica l’algoritmo sviluppato dal 19enne italiano Filippo Valsorda.

Chi potrebbe averne approfittato?

Se quanto ha affermato Robin Seggelmann è vero e si è trattato di un errore, non si tratta di un bug su commissione, tuttavia la probabilità che hacker o agenzie quali la NSA abbiano saputo in anticipo della falla e ne abbiano tratto vantaggio è piuttosto alta. Bruce Schneier (crittografo statunitense), ha scritto sul suo blog che giunti a questo punto “la probabilità che le chiavi private di ciascun bersaglio siano state estratte da svariate agenzie di intelligence è prossima al 100%“.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *