Chissà quanti errori e possibili falle esistono nel codice che utilizziamo, anche nel software che definiamo sicuro per definizione. E' il caso di Heartbleed la vulnerabilità relativa all’implementazione open source dei protocolli SSL (Secure Socket Layer) e TLS (Transport Layer Security) utilizzata (teoricamente) per garantire la sicurezza dei siti web e servizi internet.
Insomma l’
HyperText Transfer Protocol over Secure Socket Layer (
HTTPS) utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti, è stato utilizzato negli ultimi due anni portando con sé un’insicurezza genetica.
La falla scoperta nella versione 1.0.1f da un gruppo di ricercatori del team Codenomicon e ingegneri Google permette ad un malintenzionato di accedere in chiaro a tutti i dati criptati inviati dall'utente, senza lasciare alcuna traccia. Si valuta che molti siti Web siano, fossero, vulnerabili all'attacco. Un analogo caso si era verificato nel 2008 e prontamente risolto.
Le internet companies che si sono rivelate esposte alla vulnerabilità hanno già introdotto le patch per risolvere il problema. Nessuno può dire se in passato qualcuno abbia già sfruttato la vulnerabilità. Chi vuole può mettersi in sicurezza cambiando password, ma questo vale da oggi e per il futuro. E comunque
un test di verifica è stato messo a punto in modo tale da avere la garanzia di confrontarsi con un server sicuro. Abbiamo provato a testare i servizi online di alcune banche: Intesasanpaolo, ING, Fineco, Unicredit, BLN, Deutsche Bank, Chebanca sono OK; Barclays, Ubi, Credem non danno esito sicuro, la risposta è la seguente
Il server potrebbe essere sicuro, ma non siamo sicuri al 100%.
Ricordarsi, quindi, sempre e comunque di non utilizzare mai dati di accesso identici per accedere ai diversi siti e servizi su Internet. Su
Mashable vi è un elenco dei siti più conosciuti che erano esposti a vulnerabilità OpenSSL. Ciò che appare evidente è che alcune aziende erano più sicure, altre meno. Alcune utilizzano OpenSSL, altre no. Così come vi sono aziende che seppur utilizzandolo non fanno ricorso al codice di libreria incriminato. Yahoo, Facebook, Google, DropBox erano esposte alla vulnerabilità. PayPal, Microsoft, Apple, Amazon.com Groupon e eBay no.
Il problema si allarga a tutti gli switch e router utilizzati nelle aziende. E i vendor stanno correndo ai ripari. Ma ci vorrà tempo. Ad avere affermato che Heartbleed è un portatore sano di vulnerabilità all’interno dei propri prodotti vi sono società come Cisco, Juniper, Synology, F5 Networks che stanno mettendo a punto le patch necessarie.