Mondo
Una vulnerabilità scoperta da un team di ricercatori nel software OpenSSL, uno dei sistemi di crittografia più usati al mondo, mette a rischio i contenuti di due terzi dei siti mondiali – inclusi Google, Amazon, Yahoo e Facebook.
OpenSSL è uno dei sistemi più utilizzati al mondo per garantire la sicurezza delle password, dei numeri della carta di credito o altri dati sensibili nella gran parte delle operazioni ‘delicate’ effettuate su internet, come ad esempio i pagamenti online. È riconoscibile dalla sigla ‘https’ all’inizio della Url.
Cuore sanguinante
Il bug battezzato ‘heartbleed’ (cuore sanguinante) è stato definito ‘catastrofico’ dagli esperti in sicurezza, molti dei quali hanno raccomandato agli utenti di cambiare le loro password, così come ha suggerito, tra gli altri, anche Yahoo!
Bruce Schneier, che nel settore della sicurezza informatica lavora da anni ha scritto sul suo blog che in una scala da 0 a 10 “Heartbleed è 11”
Frutto di un ‘banale errore di codifica’ di OpenSSL, il bug è stato scoperto la scorsa settimana dalla società olandese Fox-it ma è stato reso noto solo lunedì sera, per lasciare alle aziende interessate dalla falla di mettere a posto i loro sistemi di sicurezza. Secondo Netcraft più di mezzo milione di siti ritenuti affidabili è stato esposto al bug.
Per Matthew Prince di Cloudflare – un sistema che fornisce una barriera di sicurezza per i siti web – la vulnerabilità potrebbe riguardare ‘potenzialmente chiunque’ dal momento che OpenSSL è usato da oltre il 60% dei siti internet.
Quali sono i rischi?
La vulnerabilità ha lasciato esposti codici sorgente, le password e le chiavi usate per sbloccare i dati criptati. Si tratta, spiega il sito heartbleed.com – creato proprio per spiegare i rischi del bug – dei “gioielli della corona, e trapelarle permette ai malintenzionati di decifrare il traffico passato e futuro verso i servizi protetti e anche di ‘camuffarsi’ da quei servizi”.
Secondo Fox-IT, la falla esiste da circa due anni ma non riguarda tutte le versioni di OpenSSL. Per sfruttare la vulnerabilità non è necessario essere un hacker: bastano – dicono gli esperti – moderate competenze tecniche.
Le contromisure
Il sito Tor Project, che consente di navigare proteggendo l’anonimato – e che non è interessato dagli effetti di heartbleed – ha esortato gli utenti con necessità di sicurezza importanti a evitare di usare internet per qualche giorno, così da permettere ai siti e ai server di mettere i sistemi in sicurezza. Evitare, dunque, le operazioni di banking online o gli acquisti per i quali è necessario inserire il codice della carta di credito.
Al momento, comunque, i siti più importanti – da Google a Yahoo e Facebook – hanno fatto sapere di aver risolto il problema.
Questo però non dà garanzie per quanto potrebbe essere accaduto in passato.
