Parafrasando “Attila, fratello flagello di Dio”, Heartbleed è il “terremoto traggedia” che sta sconquassando Internet, e questa volta non si tratta di allarmismo (come era successo qui, mea culpa). Il problema è serio, anzi serissimo, ma andiamo per gradi.
Cosa è Heartbleed? E’ il simpatico soprannome dato al bug CVE-2014-0160 che affligge OpenSSL.
Cosa è OpenSSL? E’ un software che utilizza i protocolli SSL e TLS per criptare il traffico Internet e rendere sicure le comunicazioni. Avete presente il lucchettino accanto all’indirizzo di molti siti web, come quello della vostra banca on-line? Ecco, quella roba li (su Wikipedia per info più dettagliate).
Ma qual è il problema? Semplicissimo: per colpa di questo bug, un malintenzionato può tranquillamente leggere in chiaro i dati che transitano fra server e utente, e la cosa ancor più bella è che non lascia nemmeno tracce.
E adesso? Eh, la risposta si trova qui. Scusate, ma stasera sono molto trash.
In pratica, sfruttando questa vulnerabilità, è possibile intercettare password e altri dati sensibili in pochissimo tempo e senza lasciare tracce; si stima che i sistemi colpiti siano oltre mezzo milione, e il problema non è circoscritto ai siti Web, ma anche a tutti i dispositivi che utilizzano le versioni insicure di OpenSSL (apparati di rete come switch e router, per esempio). Inoltre, il bug è in circolazione da oltre due anni, e solo ora, grazie alla segnalazione di Neel Mehta, un dipendente Google e di Riku, Antti e Matti di Codenomicon, è uscito allo scoperto. Non si conosce con precisione l’entità del danno, quanto (e se) è stato sfruttato con intenti criminosi, da chi e verso quali bersagli. E l’aspetto disarmante della faccenda è che non si saprà mai con certezza, a meno che, come spesso accade, i criminali non si divertano a rendere pubbliche le loro scorribande per incutere un pò di sano terrore.
Per fortuna non ci sono solo brutte notizie: Google, Apple, Microsoft, Twitter e Facebook non sono state colpite (mentre Yahoo si, ma ha già apportato le dovute correzioni); qui, una lista di 1000 siti sottoposti a un test di sicurezza, mentre qui c’è un simpatico strumento on-line per testare immediatamente la sicurezza di un sito. Ah si, anche Amazon sembra a posto.
Un consiglio: a parte i già citati servizi offerti da Google (Gmail, Google Docs…), Microsoft (Live Mail, Skydrive…), Twitter, Amazon, Facebook, Yahoo e Apple (iCloud), è meglio non accedere ad altri siti o servizi che non abbiamo dichiarato apertamente di non essere a rischio o di aver corretto il problema.
Su Wired.it c’è un articolo abbastanza dettagliato, che vi consiglio di leggere; se poi volete sapere tutto o quasi, allora dovete leggere qui, in Inglese ovviamente.
grazie Prof 🙂
” trash” ? deppiù!