Heartbleed, milioni di password a rischio per grave falla in OpenSSL


Per milioni di utenti di internet carte di credito, password e dati sensibili sono a rischio da due anni. La colpa è di una falla nel sistema di crittografia "OpenSSL", utilizzato da due terzi dei server per proteggere le transazioni commerciali, le comunicazioni riservate e altri contenuti che dovrebbero rimanere inaccessibili. La minaccia è stata denominata "Heartbleed" (cuore sanguinante), e potrebbe essere stata sfruttata dagli hacker per impadronirsi di una gigantesca mole di dati senza lasciare alcuna traccia.

Il mal funzionamento è stato scoperto da un gruppo di ricercatori finlandesi che lavorano per Codenomicon, società che produce sistemi di sicurezza di Saratoga, California. Insieme a loro anche due ingegneri di Google hanno individuato l'errore. Heartbleed apre una falla nel sistema SSL/TLS (protocolli Transport Layer Security), la cui presenza è identificata da un lucchetto nella barra degli indirizzi del browser e dalla scritta "HTTPS", cioè i simboli che indicano all'utente che la connessione è sicura. 


Il bug Heartbleed consente a chiunque su Internet di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. Questo compromette le chiavi segrete utilizzate per identificare i fornitori di servizi e per crittografare il traffico, i nomi e le password degli utenti e il contenuto effettivo. Ciò consente agli aggressori di spiare le comunicazioni, rubare dati direttamente da servizi e utenti, nonché di impersonare servizi e utenti. Nelle loro mani potrebbero essere finiti anche dati sanitari.

Non è ancora chiaro quanti e quali siano i siti Internet interessati dal problema, ma potrebbero essere moltissimi perché la criticità riguarda il sistema più utilizzato in Rete. Tra i sistemi operativi  vulnerabili: Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2. CVE-2014-0160 è il riferimento ufficiale per questo bug. Secondo i ricercatori lo sfruttamento del bug non lascia traccia di qualsiasi cosa anormale accada ai registri. 

Il bug avrebbe messo a rischio soprattutto Yahoo! Mail, Tumblr e Flickr, ma non è escluso che potrebbero esser stati presi di mira anche Google, Facebook, Amazon e Twitter. L'aspetto più curioso è che si tratta di una falla non recente: risale infatti al 2011, ma è stata scoperta solo Lunedì. E' possibile controllare se un sito è vulnerabile inserendo l'indirizzo Web a questa pagina. Anche se la falla può essere chiusa con un update software, secondo gli esperti ci sono motivi per continuare ad essere preoccupati.


"Credo che nessuna persona che abbia usato questa tecnologia si trovi in una posizione tale da poter dire con certezza che i suoi dati non sono stati compromessi", afferma David Chartier, amministratore delegato della società di sicurezza informatica Codenomicon. Lunedì i ricercatori della società hanno invitato le aziende a cambiare le loro chiavi private di criptazione e chiesto agli utenti della Rete di inserire nuove password, soprattutto per i siti in cui si conservano informazioni sensibili.

"Se avete bisogno di restare anonimi o di avere privacy, fareste meglio a non usare Internet per i prossimi giorni", ha avvertito in un messaggio Tor Project, il sistema di comunicazione anonima. Come spiega Electronic Frontier Foundation (EEF), Heartbleed non è un bug nella progettazione di HTTPS in sé, ma piuttosto il risultato di un semplice errore di programmazione nel software OpenSSL. EEF consiglia di implementare Perfect Forward Secrecy, che protegge i dati cifrati, anche nel caso siano stati intercettati.



Nessun commento:

Posta un commento