“Orribile”, “gravissimo”, “catastrofico”, “disastroso”. Sono solo alcuni degli aggettivi che hanno accompagnato l’annuncio, poco più di una settimana fa (il 7 aprile), dell’ormai famigerato Heartbleed, la falla di OpenSSL, il software utilizzato da milioni di server su Internet per rendere sicure le comunicazioni con gli utenti. Tanto per capirci, i due terzi dei siti mondiali che usano come prefisso https://… , ma anche quantità indefinite degli apparati di rete che governano il traffico di Internet (i router) e milioni di smartphone e tablet.
Bruce Schneier, un esperto di sicurezza informatica, ha meglio di tutti sintetizzato il problema con la frase seguente: “Catastrofico è la parola giusta. Nella scala da 1 a 10, questo è un 11”.
Ma cosa fa questo Heartbleed? Semplice, consente a un malintenzionato, neanche troppo abile, di carpire parte del contenuto della memoria del server attaccato, mettendo a rischio non solo le credenziali degli utenti o altri dati sensibili, ma le stesse chiavi crittografiche che rendono sicura la comunicazione. Chi si impadronisce di queste chiavi, può decifrare le comunicazioni tra un client e un server. A patto che…
A patto che egli sia comunque in grado di intercettare il traffico tra il client e il server, il che è un altro paio di maniche. Ma su questo punto, la NSA è più avanti di tutti…
Se volete farvi quattro risate, ecco l’interpretazione in chiave “comics” del baco.
E’ indubbio che si tratta di uno dei più gravi problemi di sicurezza di Internet degli ultimi anni, che ha costretto i gestori dei siti vulnerabili ad aggiornare in fretta e furia il software e a revocare i certificati usati per la crittografia. I più onesti hanno anche invitato gli utenti a cambiare le proprie password di accesso. Chi volesse verificare se un sito è, o è stato in passato, vulnerabile, può farlo usando questa utile pagina di Lastpass. Per la cronaca, Yahoo è stata una delle pecore nere… Per una verifica di siti meno “famosi”, usate questo.
Ma quanti danni ha fatto Heartbleed? Ben pochi, di accertati, finora. Anche se…
Ma la gravità del problema sta altrove:
- la falla è in circolazione da due anni, e chissà cosa può essere successo nel frattempo
- la falla è (relativamente) facile da sfruttare
- la falla coinvolge un numero enorme di sistemi, molti dei quali difficili da aggiornare
- la falla è dovuta a una banalissima svista di programmazione (qualcuno ha provato a vederci malizia, ma il programmatore ha ammesso l’errore
- la falla ha rimesso in discussione l’affidabilità dei metodi di sviluppo del software open source
- la falla (lo dice Bloomberg) forse era ben nota alla NSA che l’avrebbe sfruttata adeguatamente
Mi fermo qui. Negli approfondimenti alcuni degli articoli più interessanti selezionati nel mare magnum di quelli comparsi sul web.
E, a proposito, complimenti a chi ha battezzato la falla con Heartbleed, un capolavoro che gioca con il nome della funzionalità di SSL compromessa (“heartbeat”, battito di cuore) e quel “bleed” sanguinolento…
Approfondimenti
GigaOM
08/04/2014 – Here’s everything you need to know about the Heartbleed web security flaw
Electronic Frontier Foundation
10/04/2014 – Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013?
GigaOM
11/04/2014 – Report: NSA knew about Heartbleed bug and took advantage of it, but the NSA denies the charge
Bloomberg
11/04/2014 – NSA Said to Exploit Heartbleed Bug for Intelligence for Years
Il mio tweet per l’occasione…
Perché #heartbleed, la gravissima falla nella #sicurezza del web, è così disastrosa http://t.co/a4T6aUx15F #OpenSSL
— Mark Ellero (@netcrash_it) April 17, 2014