È una catastrofe la falla (detta anche bug) informatica del
decennio così è stato apostrofato Heartbleed .
È passata solo una settimana dalla comunicazione della sua
scoperta ma per gli esperti di sicurezza informatica e per i responsabili di
siti Web non si tratta di una vulnerabilità come tutte le altre.
Ma che cos'è Heartbleed
Si tratta di un bug che colpisce al cuore la sicurezza degli
scambi di informazioni su Internet. Il protocollo Transport Layer Security
(TLS) garantisce che le informazioni scambiate tra chi naviga su Internet non
possano essere facilmente decodificabili e leggibili da parte di pirati
informatici o sistemi automatizzati di decodifica. Le connessioni sicure tra
virgolette sono contrassegnate dal simbolo del lucchetto, inoltre gli indirizzi
passano da «http» à «https».
Una delle implementazioni gratuite di questo protocollo tra
le più popolari, openssl, è stata vittima di un errore di programmazione.
Pensando di migliorare questa libreria, uno sviluppatore tedesco Robin
Seggelmann, ha introdotto una vulnerabilità nel codice open USSL nel dicembre
2000 e 11. La versione difettosa è stata diffusa a partire da marzo 2012. A
partire da questa versione, tutti i server Web che utilizzano openssl per
rendere sicuri i loro scambi di informazione lasciano in effetti
inconsapevolmente le loro porte aperte.
La vulnerabilità è stata localizzata in una funzione
denominata Heartbeat, che permette di mantenere la connessione sicura tra i
navigatori e il server Web.
Quali sono i siti toccati dalla vulnerabilità Heartbeat?
La falla riguarda tutti i siti Web che utilizzano la
versione open USSL pubblicata tra marzo 2012 e aprile 2014, che rende
vulnerabili tutti i siti che sono ospitati minacciandone le informazioni dei
loro utilizzatori. Le stime parlano di uno o due terzi dei server Web in
funzione nel mondo, quindi dei social network, siti di banche e di e-commerce.
Ovviamente tra le vittime ci sono anche nomi illustri come Yahoo! et Imgur.
Quali informazioni sono minacciate?
L'errore di programma è stato scoperto a dicembre 2013 con
qualche giorno di di intervallo rispettivamente da un team Google e da una di
una società finlandese di nome
Condominium.
La loro scoperta è stata tenuta nascosta fino al martedì 8
aprile, per consentire di introdurre dei correttivi senza allertare i
malintenzionati.
E complicato sapere se questa vulnerabilità sia stata
utilizzata effettivamente, ciò in quanto gli attacchi che utilizzano questa
falla non lasciano teoricamente alcuna traccia. Il dibattito è tra coloro che
ritengono che mediante questa falla siano ottenibili solo informazioni su
messaggi che i siti bancari e social network e coloro che ritengono che sia
possibile farsi passare come un utilizzatore in particolare ottenendo quindi
informazioni o eseguendo disposizioni.
Commenti
Posta un commento