Heartbleed la falla che colpisce al cuore la sicurezza di Internet

È una catastrofe la falla (detta anche bug) informatica del decennio così è stato apostrofato Heartbleed .

È passata solo una settimana dalla comunicazione della sua scoperta ma per gli esperti di sicurezza informatica e per i responsabili di siti Web non si tratta di una vulnerabilità come tutte le altre.

Ma che cos'è Heartbleed

Si tratta di un bug che colpisce al cuore la sicurezza degli scambi di informazioni su Internet. Il protocollo Transport Layer Security (TLS) garantisce che le informazioni scambiate tra chi naviga su Internet non possano essere facilmente decodificabili e leggibili da parte di pirati informatici o sistemi automatizzati di decodifica. Le connessioni sicure tra virgolette sono contrassegnate dal simbolo del lucchetto, inoltre gli indirizzi passano da «http» à «https».

Una delle implementazioni gratuite di questo protocollo tra le più popolari, openssl, è stata vittima di un errore di programmazione. Pensando di migliorare questa libreria, uno sviluppatore tedesco Robin Seggelmann, ha introdotto una vulnerabilità nel codice open USSL nel dicembre 2000 e 11. La versione difettosa è stata diffusa a partire da marzo 2012. A partire da questa versione, tutti i server Web che utilizzano openssl per rendere sicuri i loro scambi di informazione lasciano in effetti inconsapevolmente le loro porte aperte.

La vulnerabilità è stata localizzata in una funzione denominata Heartbeat, che permette di mantenere la connessione sicura tra i navigatori e il server Web.

Quali sono i siti toccati dalla vulnerabilità Heartbeat?

La falla riguarda tutti i siti Web che utilizzano la versione open USSL pubblicata tra marzo 2012 e aprile 2014, che rende vulnerabili tutti i siti che sono ospitati minacciandone le informazioni dei loro utilizzatori. Le stime parlano di uno o due terzi dei server Web in funzione nel mondo, quindi dei social network, siti di banche e di e-commerce. Ovviamente tra le vittime ci sono anche nomi illustri come Yahoo! et Imgur.

Quali informazioni sono minacciate?

L'errore di programma è stato scoperto a dicembre 2013 con qualche giorno di di intervallo rispettivamente da un team Google e da una di una società finlandese  di nome Condominium.

La loro scoperta è stata tenuta nascosta fino al martedì 8 aprile, per consentire di introdurre dei correttivi senza allertare i malintenzionati.

E complicato sapere se questa vulnerabilità sia stata utilizzata effettivamente, ciò in quanto gli attacchi che utilizzano questa falla non lasciano teoricamente alcuna traccia. Il dibattito è tra coloro che ritengono che mediante questa falla siano ottenibili solo informazioni su messaggi che i siti bancari e social network e coloro che ritengono che sia possibile farsi passare come un utilizzatore in particolare ottenendo quindi informazioni o eseguendo disposizioni.