Da alcuni giorni è rimbombata sui mass media la notizia di una potenzialmente molto pericolosa falla di sicurezza, denominata Heartbleed.
Essa riguarda alcune versioni delle librerie openssl, utilizzate da diversi protocolli di rete per crittografare i dati trasmessi. Tra di essi vi è anche il noto protocollo http, utilizzato comunemente dai browser per navigare sui siti internet. La combinazione di quest'ultimo con openssl porta alla costituzione del protocollo sicuro https, che viene utilizzato quando ci si connette con userid e password a siti come quelli delle banche, poste, società di carte di credito, social network, posta elettronica. La stragrande maggioranza dei siti che offrono una procedura di login, utilizzano il protocollo https, soprattutto dopo la ribalta dello scandalo Datagate. La falla può affliggere sia i server, cioè quei computer che offrono il servizio, che i client che vi accedono, dal browser, al client di posta elettronica. Essa è stata causata da una porzione di codice inserita nel 2012, che non validava la lunghezza di una variabile: ciò puo potenzialmente permettere ad un malintenzionato che ha accesso al computer bersaglio di intercettare 64 Kilobyte di dati che dovrebbero essere crittografati, ma che grazie a questo bug non lo sono. Se quella porzione di memoria contenesse identificati e password, ecco che l'account che utilizziamo per quel servizio sarebbe compromesso. Inoltre un attacco che sfrutti la vulnerabilità in questione potrebbe permettere ad un malintenzionato di impadronirsi della chiave privata di un certificato SSL (come quelli appunto utilizzate da banche, provider di posta elettronica, siti di e-commerce, ecc), che potrebbe essere poi utilizzate per creare un certificato falso da abbinare ad un sito contraffatto, dove un ignaro utente potrebbe tentare di effettuare il login, fornendo così le proprie credenziali reali.
Una spiegazione esaustiva ma non eccessivamente complicata è reperibile sul sito di TheHackerNews in lingua inglese. Le librerie openssl sono uno standard nella crittografia, possono essere utilizzate su tutte le piattaforme, da Linux / Unix a Microsoft Windows a iOS ed Android. Inoltre anche apparecchi come router e firewall ne fanno uso; Cisco Systems e Juniper Networks hanno recentemente confermato la vulnerabilità di alcuni dei propri prodotti a tale bug. Altri dispositivi vulnerabili possono essere SmartTV, apparecchi di fonia voip, macchine industriali, e sicuramente i dispositivi che montano Android Jelly Bean, la versione 4.1.1., come anche alcuni modelli Blackberry. Tra i principali siti internet affetti dal problema vi sono Yahoo, Instagram, Flickr, Google e Gmail, GoDaddy, Youtube, Dropbox, Wikipedia. Di seguito alcuni link con liste di siti vulnerabili o meno ed accorgimenti da utilizzare, prima di tutto il cambio di password:
https://it.notizie.yahoo.com/heartbleed-siti-sicuri-password-da-cambiar…
https://www.yahoo.com/tech/the-heartbleed-aftermath-drags-on-what-passw…
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
La vulnerabilità è (era) alquanto diffusa in quanto le librerie opensource OpenSSL vengono largamente utilizzate. Il carattere a codice aperto delle stesse non ha impedito agli sviluppatori di accorgersi dell'introduzione della porzione di codice che l'ha causata. Sono trascorsi più di due anni prima che alcuni ricercatori se ne accorgessero, e ciò risulta abbastanza inquietante, considerata l'importanza delle librerie in questione. Come mai, pur essendo l'intero codice disponibile, in così tanto tempo nessuno si è accorto del bug? Che ci sia qualcuno dietro tutta la faccenda? Già da alcuni giorni sui giornali sono apparse notizie in merito ad un presunto coinvolgimento dell'NSA, peraltro smentito seccamente dalla stessa agenzia federale. Certo è che, se pur fosse stata a conoscenza della vulnerabilità già da alcuni anni, come riportato da Bloomberg, non andrebbe certo a sventolarlo ai quattro venti.
Il sospetto che l'NSA possa in qualche modo essere coinvolta è aumentato con le recenti dichiarazioni del presidente USA Obama, il quale ha dichiarato che l'agenzia potrà valersi della scoperta di vulnerabilità anche di portata globale, come appunto Heartbleed, ma solo per esigenze di sicurezza nazionale, secondo quanto riporta il New York Times. Il che permette un ampio margine di manovra alla cricca di spioni col distintivo. Il problema è però un altro. Tenere per sé la conoscenza di una vulnerabilità che faciliti il prorpio lavoro di spionaggio, evitando di divulgarla e permettere così anche ad aziende, enti e privati di correre ai ripari, non impedisce a terzi di venirne a conoscenza e di sfruttarla contro quegli stessi soggetti che NSA & C. millantano di voler proteggere.
- Accedi per poter commentare