Heartbleed, la gestione della crisi e le patch

Continua la crisi di Heartbleed, il bug “catastrofico” nella libreria OpenSSL che ha gettato mezza Internet nel panico e che ora ha anche la sua striscia illustrata su xkcd : “è stato un incidente”, confessa il programmatore Robin Seggelmann a cui va imputato il codice sorgente che in definitiva ha portato alla comparsa del baco.

Il problema nasce da una “mancata validazione di una variabile contenente una lunghezza”, ha spiegato Seggelmann, e il fatto che il codice fosse stato visionato da altri sviluppatori prima di essere integrato in OpenSSL non è servito a individuare il potenziale problema e quindi a scongiurare la presente crisi telematica mondiale. In altre parole, alla richiesta di informazioni seguita da un valore arbitrario di bit, il sistema rispondeva con l'informazione richiesta e tutto quanto veniva dopo per la lunghezza della stringa specificata: OpenSSL parlava troppo, e potrebbe aver spifferato informazioni preziose agli interlocutori sbagliati.

Nel frattempo i ricercatori scandagliano il Web alla ricerca di potenziali sistemi vulnerabili, individuando centinaia di migliaia di server e dispositivi contenenti il codice fallato. EFF continua a investigare il possibile coinvolgimento dell'intelligence statunitense nell'uso della falla a scopo di tecnocontrollo, anche se al momento risposte definitive in merito non ce ne sono.

Le grandi corporation con importanti presenze in Rete hanno naturalmente detto la loro su Heartbleed, rassicurando gli utenti con diversi livelli di certezza: Microsoft sostiene di essere immune (su Azure fanno eccezione i clienti che usano Linux) dalla falla, altrettanto fa Apple (su iOS, OS X e server), mentre Google ammette di essere vulnerabile ma di aver già provveduto a chiudere il bug nei sistemi essenziali come Gmail, Search, YouTube ecc.

I contraccolpi di Heartbleed si fanno sentire anche sulle autorità finanziarie ed economiche nei paesi più Internet-friendly come il Canada, dove i servizi di denuncia delle tasse online sono stati bloccati dalla Canada Revenue Agency in attesa di ripristinare la sicurezza. Negli USA interviene il Federal Financial Institutions Examination Council (FFIEC) che avverte le banche e gli istituti finanziari circa il pericolo.

LastPass, uno dei servizi di alto profilo affetti da Heartbleed ha rafforzato la sicurezza per gli utenti – che comunque non è mai stata realmente a rischio, sostiene la società – e ora mette a disposizione un tool per verificare la presenza del bug su un dominio Web. La questione si fa invece più complicata per Cisco e Juniper, visto che per entrambe i produttori di apparati si parla di una nutrita lista di dispositivi e servizi vulnerabili . Non resta che attendere le apposite patch, per questi sistemi, per vedere arginato questo fronte.

Quanto è realmente grave il rischio posto da Heartbleed? Il blog Freedom to Tinker interviene sulla questione nel tentativo di riportare la discussione dall'hype alla realtà, suddividendo i rischi in tre diverse categorie (aziende di medie dimensioni, dispositivi che usano OpenSSL fuori dai server Web e dispositivi embedded) e fornendo una serie di consigli ragionevoli post-apocalisse: lo stato delle cose va studiato a fondo ma è improbabile che tutte le password e tutte le chiavi private SSL/TLS siano state rubate dai cyber-criminali o dalla NSA, spiega Jeremy Epstein. Dunque un cambio di password, procedura da svolgere sempre e comunque periodicamente, è salutare: ma non è il caso di gridare (già) alla tragedia planetaria, pur dovendo prendere molto sul serio quanto accaduto.

Alfonso Maruccia