Heartbleed Bug, la madre di tutte le falle presente in OpenSSL.


Sarà ricordato come "Heartbleed Bug", (in italiano "bug cuore sanguinante", il che rende già l'idea di quanto accaduto), e si tratta un banale errore di compilazione ma allo stesso tempo rappresenta uno dei bug più pericolosi mai scoperti, in quanto mette a rischio le basi di quella che finora era considerata la migliore tra le misure di sicurezza adottate dagli utenti su Internet. In pratica il problema, scoperto da alcuni ricercatori finlandesi che lavorano per una società di sicurezza californiana, in collaborazione con un esperto della sicurezza di casa Google, è stato rilevato all'interno della libreria software OpenSSL, vale a dire una porzione di software utilizzato dalla maggior parte dei provider e servizi online per implementare le misure di sicurezza previste dai protocolli SSL/TLS; questi consentono ai vari browser di comunicare dati criptati al server di destinazione: così facendo nessun intervento lungo il percorso può captare le comunicazioni intercorse, impedendo pertanto il furto di dati o di identità. Ed è proprio OpenSSL che consente di mettere in pratica i suddetti protocolli, portando tali misure di cautela all'interno dei servizi che intendono implementare un tasso di sicurezza assoluta. Inoltre le comunicazioni veicolate tramite i protocolli SSL/TLS consentono ai browser di mostrare appositi simboli sulla barra degli indirizzi, (ad esempio, il classico lucchetto, noto per essere affiancato dalla sigla https), in modo che lo stesso utente possa sentirsi sicuro del fatto che i propri dati non saranno a disposizione di nessuno e potranno soltanto essere letti dal server remoto esclusivamente all'atto del loro utilizzo. Tuttavia adesso l'Heartbleed Bug mette tutto in discussione poiché implica un problema all'interno del codice che avrebbe dovuto "chiudere il lucchetto": ciò significa che OpenSSL non è sicuro e che di conseguenza le comunicazioni criptate non sono poi così tanto segrete come si è fatto immaginare finora. Per di più il bug risale a circa due anni fa e coinvolge nello specifico OpenSSL 1.0.1f; perciò d'ora in poi non bisognerà più utilizzare versioni antecedenti alla 1.0.1g, quella revisionata e corretta. Ad ogni modo la gravità di questo bug si può riassumere in tre elementi principali: il primo è la fortissima diffusione di OpenSSL sul mercato; il secondo è la fiducia riposta dall'utenza Internet nel protocollo SSL/TLS; ed il terzo è il fatto che eventuali azioni di attacco possono avvenire senza lasciare traccia alcuna. Infatti l'Heartbleed Bug consente la lettura della memoria sul sistema di un utente remoto, potendo così carpirne nome, password, informazioni personali ed informazioni caricate all'atto di utilizzo del servizio o del provider. Insomma, (dalla password di Gmail, alle informazioni su Facebook), tutto è potenzialmente aperto agli occhi di chiunque volesse far propri tali dati. Infatti un eventuale malintenzionato potrebbe non solo raccogliere dati altrui, ma anche sottrarne l'identità virtuale ed operare impunemente con credenziali non proprie. Il tutto, tra l'altro, senza utilizzare necessariamente un cosiddetto "attacco man in the middle", ma contattando direttamente il servizio vulnerabile per arrivare all'utente. Oltretutto, secondo quanto comunicato sul sito creato appositamente per fornire informazioni su questo bug, il 66% dei siti web è vulnerabile in quanto ospitato su server Apache o altre distribuzioni che utilizzano OpenSSL, (tra i più vulnerabili si parla di Yahoo!, Tumblr, Flickr, OkCupid ed addirittura quello dell'FBI); e basta questo numero per quantificare la minuziosità e l'estensione del problema. Tuttavia al momento è impossibile capire se qualcuno avesse già scoperto il bug nell'arco di questi due anni circa e ne abbia approfittato: eventuali abusi non avrebbero comunque lasciato traccia e l'unica cosa che si può fare ad oggi è voltar pagina quanto prima con un aggiornamento software che ripristini la presunta sicurezza del protocollo e della sua implementazione più diffusa. Comunque sia, come già detto, il bug in questione è stato scoperto da un gruppo di ingegneri indipendenti del team Codenomicon, (conosciuti con i nickname Riku, Antti e Matti), in collaborazione con Neel Mehta di Google Security, il quale ha provveduto a riportare tale scoperta al team OpenSSL dando così il via ai lavori di correzione. Infatti, come già anticipato, è già stata distribuita una nuova versione di OpenSSL ed ora sta ai vari interessati intervenire con un aggiornamento sollecito che risolva le singole situazioni: dai produttori di sistemi operativi, fino ai produttori indipendenti di software, passando per provider e sviluppatori di servizi online, tutti dovranno fare quanto necessario per aggiornare il prima possibile OpenSSL e darne ovviamente relativa comunicazione alle persone interessate. Cosa che Facebook, (tra i principali siti interessati dal bug in virtù dell'alto numero di utenti e dati personali gestiti), ha già provveduto a fare, dichiarando di aver immediatamente preso in mano la questione; infatti i responsabili del sito hanno, infine, spiegato: "Facebook ha attivato un potenziamento della protezione nell'ambito del sistema OpenSSL prima che il problema dell'Heartbleed Bug fosse reso noto. Attualmente il Social Network non ha rilevato nessuna attività sospetta sugli account delle persone e continua a monitorare la situazione molto attentamente".

Commenti