Tempo di lettura: 2 minuti

Parafrasando “Attila, fratello flagello di Dio”, Heartbleed è il “terremoto traggedia” che sta sconquassando Internet, e questa volta non si tratta di allarmismo (come era successo qui, mea culpa). Il problema è serio, anzi serissimo, ma andiamo per gradi.

Cosa è Heartbleed? E’ il simpatico soprannome dato al bug CVE-2014-0160 che affligge OpenSSL.

Cosa è OpenSSL? E’ un software che utilizza i protocolli SSL e TLS per criptare il traffico Internet e rendere sicure le comunicazioni. Avete presente il lucchettino accanto all’indirizzo di molti siti web, come quello della vostra banca on-line? Ecco, quella roba li (su Wikipedia per info più dettagliate).

Ma qual è il problema? Semplicissimo: per colpa di questo bug, un malintenzionato può tranquillamente leggere in chiaro i dati che transitano fra server e utente, e la cosa ancor più bella è che non lascia nemmeno tracce.

E adesso? Eh, la risposta si trova qui. Scusate, ma stasera sono molto trash.

In pratica, sfruttando questa vulnerabilità, è possibile intercettare password e altri dati sensibili in pochissimo tempo e senza lasciare tracce; si stima che i sistemi colpiti siano oltre mezzo milione, e il problema non è circoscritto ai siti Web, ma anche a tutti i dispositivi che utilizzano le versioni insicure di OpenSSL (apparati di rete come switch e router, per esempio). Inoltre, il bug è in circolazione da oltre due anni, e solo ora, grazie alla segnalazione di Neel Mehta, un dipendente Google e di Riku, Antti e Matti di Codenomicon, è uscito allo scoperto. Non si conosce con precisione l’entità del danno, quanto (e se) è stato sfruttato con intenti criminosi, da chi e verso quali bersagli. E l’aspetto disarmante della faccenda è che non si saprà mai con certezza, a meno che, come spesso accade, i criminali non si divertano a rendere pubbliche le loro scorribande per incutere un pò di sano terrore.

Per fortuna non ci sono solo brutte notizie: Google, Apple, Microsoft, Twitter e Facebook non sono state colpite (mentre Yahoo si, ma ha già apportato le dovute correzioni); qui, una lista di 1000 siti sottoposti a un test di sicurezza, mentre qui c’è un simpatico strumento on-line per testare immediatamente la sicurezza di un sito. Ah si, anche Amazon sembra a posto.

Un consiglio: a parte i già citati servizi offerti da Google (Gmail, Google Docs…), Microsoft (Live Mail, Skydrive…), Twitter, AmazonFacebook, Yahoo e Apple (iCloud), è meglio non accedere ad altri siti o servizi che non abbiamo dichiarato apertamente di non essere a rischio o di aver corretto il problema.

Su Wired.it c’è un articolo abbastanza dettagliato, che vi consiglio di leggere; se poi volete sapere tutto o quasi, allora dovete leggere qui, in Inglese ovviamente.

In breve
Il super buco nella sicurezza di Internet si chiama Heartbleed
Titolo
Il super buco nella sicurezza di Internet si chiama Heartbleed
Descrizione
Parafrasando "Attila, fratello flagello di Dio", Heartbleed è il "terremoto traggedia" che sta sconquassando Internet, e questa volta non si tratta di allarmismo. Il problema è serio, anzi serissimo, e riguarda una falla di sicurezza che affligge molte versione di OpenSSL, il software che si occupa di criptare le connessioni Internet e di renderle sicure.
Autore

About 

Da quando avevo 8 anni ho sempre giocherellato con qualcosa anche solo vagamente simile a un computer. Attualmente faccio il system administrator su sistemi Windows/Mac/Linux/Qualsiasi, ma in passato ho lavorato anche come illustratore, musicista, webdesigner e pubblicista, e mi sono divertito abbastanza, direi. Ciò non toglie che non svolga queste attività anche ora, solo che dalle 9 alle 18, faccio il system administrator. Tutto qui.

    Find more about me on:
  • facebook
  • googleplus
  • linkedin
  • twitter

Pin It on Pinterest

Condividi!

Dillo in giro