Che cos’è Heartbleed?

keyboard_arrow_down

Nei giorni scorsi vi può essere capitato di aver sentito parlare di Heartbleed, o più semplicemente di un bug capace di mettere in crisi la rete.
Si tratta di un problema piuttosto serio che riguarda la sicurezza in alcune comunicazioni che avvengono normalmente in internet.

Durante le normali attività, le informazioni che non hanno bisogno di essere protette in rete viaggiano in chiaro. Quando ci troviamo a interagire con qualche sito o servizio in cui devono essere inviati dei dati sensibili (ad esempio la password per l’accesso all’home banking oppure quando bisogna compilare dei moduli inserendo i propri dati personali) queste informazioni devono essere trasmesse in modo sicuro.
A questo scopo vengono usati dei certificati digitali che assicurano che l’intera comunicazione sia protetta e nessuno possa intercettare informazioni preziose.

“Cosa sono i certificati digitali?” I certificati digitali sono dei documenti che assicurano che l’identità di un soggetto sia attendibili. Le autorità di certificazione sono gli enti che si occupano di emettere o revocare i certificati.
E Heartbleed? Heartbleed è il termine informale che viene usato per identificare l’errore di programmazione scoperto nella libreria OpenSSL. L’origine deriva da “heartbeat” che fa riferimento a un aspetto del funzionamento di OpenSSL.

Il problema che si è venuto a creare riguarda un errore di programmazione nel software che viene usato molto spesso per generare i certificati: OpenSSL. Fino alla versione 1.0.1f (compresa) infatti era possibile ottenere molte informazioni che di norma dovrebbero essere protette. Gli sviluppatori di OpenSSL hanno provveduto rapidamente a correggere l’errore (nella versione 1.0.1g) ma ciò che preoccupa è la quantità di tempo in cui questa vulnerabilità è rimasta in circolazione: circa 2 anni.

L’attività cruciale ora è a carico di chi gestisce dei siti che utilizzano dei certificati ormai non più sicuri. Per l’utente comune non ci sono aggiornamenti di sistema necessari (ad eccezione di programma che utilizzano OpenSSL per il proprio funzionamento, in genere non presenti su Windows o OS X).

Qualcosa che possiamo fare però esiste: essere sicuri che i siti a cui accediamo regolarmente e che ci chiedono dei dati di accesso (nome utente, password…), abbiano provveduto ad aggiornare i propri sistemi. E’ possibile accedere a uno di questi siti e inserire l’indirizzo che si vuole controllare:

– https://filippo.io/Heartbleed/
– https://www.ssllabs.com/ssltest/

Molti dei siti che usiamo quotidianamente sono stati vulnerabili ad Heartbleed, la maggior parte ha prontamente sistemato la vulnerabilità, e non necessariamente i nostri dati sensibili sono stati esposti.
Da questa lista (http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/) si possono vedere i siti colpiti, se hanno provveduto a sistemare i certificati e se è consigliabile cambiare la propria password.

E’ stato riportato che una particolare versione di Android (la 4.1.1) potrebbe essere esposta al problema. Per essere sicuri sul Google Play Store è possibile installare un’app che verifica se il proprio dispositivo è vulnerabile (https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector).

Tutto questo però non ci garantisce cosa possa essere successo nel periodo in cui questo problema era diffuso ma sconosciuto.
I suggerimenti che vengono dati sono quindi di controllare che i siti a cui accediamo siano stati sistemati e successivamente cambiare la password ad ognuno di essi (possibilmente non la stessa password per tutti).