Heartbleed, la saga continua

A un mese dalla divulgazione della vulnerabilità di OpenSSL i numeri sono solo in parte confortanti. La metà dei siti colpiti non ha sanato il bug. E qualcuno potrebbe essere caduto nel tranello di una patch prematura
A un mese dalla divulgazione della vulnerabilità di OpenSSL i numeri sono solo in parte confortanti. La metà dei siti colpiti non ha sanato il bug. E qualcuno potrebbe essere caduto nel tranello di una patch prematura

Sono passate quattro settimane da quando le informazioni su Heartbleed , un serio bug legato ai servizi di OpenSSL, sono state consegnate al pubblico: il problema alla libreria open source, che consente le comunicazioni cifrate tra innumerevoli servizi e siti e i rispettivi utenti, ha coinvolto migliaia di siti e costretto migliaia di amministratori ad un affrettata quanto necessaria campagna di bonifica dei sistemi controllati . A distanza di un mese , tuttavia, la situazione è migliorata solo in parte.

I censimenti svolti interrogando da remoto i sistemi già censiti come affetti dal bug Heartbleed, e cercandone di nuovi, consegnano un quadro solo in parte confortante: ci sono in circolazione almeno 300mila siti ancora affetti dalla vulnerabilità , anche se ovviamente non è possibile stabilire in modo preciso se tale situazione sia frutto di incuria o legata ad altre motivazioni. Rispetto agli oltre 600mila server malati di incontinenza di bit censiti in precedenza si tratta di un miglioramento significativo: tuttavia, ed è probabilmente il dato più preoccupante, ci sono indicazioni che alcuni server in precedenza immuni siano ora invece afflitti da Heartbleed.

La spiegazione più probabile è che il caso Heartbleed abbia causato un’ondata di isteria nei reparti tecnici e ai piani alti di parecchie aziende : gli admin sono stati spinti ad affrettare qualche tipo di iniziativa per affrontare la questione OpenSSL, e in taluni casi potrebbero aver aggiornato il software con una versione affetta dal bug sostituendola a una sana. Sistemi quindi perfettamente sicuri, o quantomeno immuni da Heartbleed, sono stati resi vulnerabili: un’eventualità che complica ulteriormente il quadro, visto che ora sarà necessario per questi admin applicare nuovamente una patch, aggiornare i certificati e revocare quelli potenzialmente compromessi, chiedere o imporre un cambio della password agli utenti. Chi l’avesse già fatto potrebbe, paradossalmente , essere finito nei guai partendo da una situazione di vantaggio.

Nel complesso, in ogni caso, la situazione non è così tragica: la stragrande maggioranza dei siti più noti e visitati del Web è stata resa immune ad Heartbleed poche ore dopo la divulgazione della vulnerabilità, pertanto chi ha seguito la profilassi consigliata di cambio delle password non dovrebbe soffrire conseguenze. A essere interessati dalla vulnerabilità sono stati anche alcuni servizi di VPN ( Virtual Private Network ) disponibili in Rete, molti dei quali sono utilizzati proprio per garantire sicurezza e riservatezza alle proprie operazioni online: Torrentfreak ha condotto una vasta ricerca in merito, e ha riassunto in un articolo i resoconti su quali servizi sono risultati affetti e quali iniziative abbiano preso in merito.

Luca Annunziata

Link copiato negli appunti

Ti potrebbe interessare

12 05 2014
Link copiato negli appunti