Heartbleed, il Web corre ai ripari

Il baco recentemente scoperto nella libreria OpenSSL getta mezza Internet nel panico. Migliaia i siti coinvolti, tra cui anche grossi nomi. In parecchi casi sarà necessario cambiare password per restare al sicuro

Il senso del pericolo che Internet corre al momento a causa del baco nella libreria OpenSSL lo dà Bruce Schneier, esperto di sicurezza solitamente attento con le parole ma che non esita a definire Heartbleed (nome ufficiale del bug di cui sopra) un problema di livello “catastrofico”.

A causa del baco, spiega Schneier, un malintenzionato o una gang di criminali possono “estrarre” 64 chilobyte di dati dalla memoria RAM di server vulnerabile compromettendo qualsiasi cosa, dalle chiavi private SSL alle password utente e tutto il resto. Il numero stimato di siti coinvolti nella “crisi” Heartbleed ammonta a mezzo milione, e Schneier evoca prevedibilmente la possibilità che il baco sia stato messo lì apposta dall’intelligence statunitense (la solita NSA) o da qualcun altro interessato a spiare l’intero mondo connesso. Probabilmente si tratta solo di un incidente, dice Schneier, ma al momento non ci sono prove né in un senso né nell’altro.

Tutti i lidi di Internet sono coinvolti nel problema per un motivo o per l’altro, spiegano gli esperti di sicurezza, e a peggiorare una situazione già delicata ci pensa il fatto che i potenziali attacchi non possono essere tracciati e quindi eventuali brecce nella sicurezza di siti anche importanti passano senza colpo ferire.

Come si esce dal tunnel di Heartbleed? I server dei siti vulnerabili ( come Yahoo !) stanno procedendo all’aggiornamento a una (nuova) versione sicura di OpenSSL, mentre agli utenti di detti siti viene chiesto di cambiare la password quanto prima (come successo agli iscritti di Ars Technica ).

Uno sviluppatore ha approntato un sito grazie al quale è possibile testare la presenza della falla su un nome di dominio, mentre LastPass rassicura sulla robustezza del proprio servizio e sul fatto che, grazie a layer di protezione aggiuntivi, la vulnerabilità in OpenSSL (che pure era presente sul server) non ha fatto danni . Insomma, Heartbleed è un problema da non sottovalutare: ma non è il caso di farsi prendere dal panico, e occorre valutare caso per caso come è meglio agire.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti