Ha colpito oltre due terzi dei siti web mondiali e permette il furto di password e dati sensibili. Ecco tutto quello che c’è da sapere… Più che un cuore sanguinante è una carneficina. Heartbleed, una gravissima vulnerabilità che compromette buona parte dei sistemi e dei servizi usati per crittografare il traffico internet, è già stata ribattezzata l’epic falla (dall’espressione epic fail). Da lunedì sera, quando è stata rivelata al mondo, amministratori di sistema e IT manager si sono trovati a gestire una situazione di emergenza, i cui potenziali effetti catastrofici (e del resto, bug catastrofico è stato definito dall’esperto di crittografia Bruce Schneier) sono ancora tutti da capire. Ma vediamo punto per punto di che si tratta e cosa sta succedendo.

La falla

Heartbleed è il nome assegnato a una vulnerabilità zero day (CVE-2014-0160) che riguarda OpenSSL, il sistema usato per criptare le comunicazioni internet usato da due terzi dei server e fino ad oggi considerato uno dei sistemi più sicuri. La falla – e questa è una pessima notizia – esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g. Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8.

Aspetta: cosa sarebbe OpenSSL?

Una implementazione open source di SSL e TSL, i due protocolli che garantiscono la sicurezza delle comunicazioni e transazioni di gran parte di ciò che sta sul web. Avete presente https nel browser, insomma il lucchetto che compare con l’online banking, Gmail e molti altri servizi che devono proteggere (leggi: cifrare) le loro comunicazioni? Ecco è un esempio.

Chi ha scoperto la falla?

La falla è stata individuata da un ingegnere di Google, Neel Mehta, e da alcuni ricercatori di Codenomicon, che hanno poi creato un sito ad hoc, appunto Heartbleed. Non senza qualche polemica riguardo a come la falla è stata comunicata.

Chi ne è colpito?

Molti sistemi operativi sono vulnerabili, tra cui Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2. Ma al di là di questo, il punto è che OpenSSL gira su due dei web server più usati, Apache e nginx, così come server mail, servizi di chat, VPN e altri servizi. Ora immaginate che il lucchetto per blindare il traffico e le comunicazioni con tutti questi servizi sia potenzialmente apribile da chiunque conosca la falla e vi renderete conto della enormità del problema.

Quali aziende web sono interessate?

Fornitori di servizi, social media, webmail, online banking sono potenzialmente tutti interessati. In particolare: Apple, Microsoft, Twitter, Facebook e Google NON sembra siano state colpite dalla vulnerabilità, al contrario di Yahoo, che è stata esposta dal bug. Gli esperti di sicurezza hanno consigliato agli utenti di non entrare nei proprio account Yahoo in questo momento (il rischio era farsi rubare le credenziali da qualcuno che sfruttando la vulnerabilità sniffasse il traffico). Tuttavia successivamente da Yahoo hanno fatto sapere che la vulnerabilità è stata messa a posto, quindi allo stato attuale i seguenti servizi sono tornati sicuri: Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr e Tumblr. Il consiglio rimane comunque di cambiare la propria password una volta loggati. Fortunati gli utenti Google: poiché Gmail usa un avanzato sistema di protezione chiamato Perfect Forward Secrecy, i suoi utenti dovrebbero essere al sicuro anche per quanto riguarda le passate comunicazioni. Con l’occasione la Electronic Frontier Foundation ha consigliato di implementare Perfect Forward Secrecy – che protegge i dati cifrati, anche nel caso siano stati intercettati e salvati da qualche “spione�, e la chiave del sito sia successivamente compromessa – su più servizi possibili. Qui si trova una lista di possibili siti interessati dalla falla, ma molti potrebbero aver già messo la toppa.

Cosa deve fare un utente?

Cambiare le password dei servizi che usano OpenSSL dopo che sono stati aggiornati. Aggiornare il proprio sistema, le distribuzioni Linux stanno rilasciando update in questo momento. Tenere sotto controllo i propri account.