In considerazione dell’allarme diffuso dalla stampa sul bug Heartbleed, forniamo qui, a beneficio dei lettori, le principali cose da sapere sul “baco”, sui suoi effetti e sulle misure di sicurezza da adottare.
Cos’è Heartbleed?
Il bug Heartbleed (in italiano traducibile con “cuore che sanguina”) è una vulnerabilità informatica individuata nella library crittografica di Open SLL, che è l’implementazione open source del protocollo TLS normalmente impiegato per garantire una comunicazione sicura in rete, dalla sorgente al destinatario.
La vulnerabilità rilevata può permettere a terzi di intercettare le comunicazioni scambiate attraverso i protocolli di criptazione che, in condizioni normali, proteggono le informazioni scambiate su applicazioni internet quali email, instant messaging (IM) e alcune virtual private networks (VPNs). Il bug scoperto mette a repentaglio la sicurezza di queste comunicazioni.
Heartbleed può permettere a chiunque di accedere alla memoria dei sistemi protetti attraverso le versioni vulnerabili del software OpenSLL. In questo modo vengono compromessi i codici segreti usati per identificare i service provider e per criptare il traffico, i nomi e le password degli utenti. Attraverso queste informazioni terze parti possono accedere ai dati direttamente dai servizi e degli utenti, rubando la loro “identità digitale”.
Qual è la particolarità di questo bug?
A differenza dei consueti bug dei singoli software, Heartbleed è responsabile di una vulnerabilità diffusa su molte applicazioni internet, e per lungo tempo ha lasciato aperto un varco di accesso ad un’enorme quantità di dati.
Chi ne è maggiormente colpito?
OpenSSL è la libreria criptografica open source più diffusa in rete. Pertanto si può dire che direttamente o indirettamente qualunque utente di internet può essere vittima della vulnerabilità del bug. Social media, siti di e-commerce, network aziendali, siti istituionali: moltissimi servizi online utilizzano il protocollo TLS per l’identificazione e per proteggere la privacy e le transazioni degli utenti. Inoltre è possibile che sul computer degli utenti siano installati client side software che potrebbero esporre i dati archiviati sul computer quando si connettono a servizi compromessi.
È possibile scoprire se si è subito un attacco attraverso il bug?
No. Lo sfruttamento della vulnerabilità Heartbleed non lascia tracce e non è possibile sapere se si è stati oggetto di attacchi.
È stato riparato il bug?
Sì. Una versione riparata di OpenSLL è stata rilasciata il 7 Aprile 2014, lo stesso giorno in cui è stata pubblicamente annunciata la scoperta del bug. In quel momento è stato stimato che il 17% degli Internet’s secure web servers fosse vulnerabile ad eventuali atacchi. Attualmente non è stimato il numero di provider che hanno già aggiornato il proprio Open SLL.
Come ci si difende?
Cambiare le password dei propri account sembra ad oggi l’unica mossa difensiva in capo ai singoli utenti. Tuttavia, potrebbe non essere abbastanza. È infatti recentemente emerso che sfruttando la falla è possibile rubare i certificati di sicurezza che stabiliscono l’autenticità di un sito. In una simile eventualità cambiare le password sarà inutile perché le nuove password sarebbero trasmesse direttamente a criminali informatici che fingono di essere i legittimi siti.
Importante anche aggiornare le ultime versioni disponibile di software e sistemi operativi di computer, tablet e smartphone, in particolare la versione del sistema operativo Google Android 4.1.1.
Per controllare se i siti che visitiamo hanno rimediato alla vulnerabilità è possibile utilizzare un “checker” come quello rilasciato dalla McAfee (disponibile QUI).
Seguiranno aggiornamenti su ulteriori sviluppi.
Aggiungi commento