Carte di credito, password e dati personali sono a rischio, da ben due anni. E' questa la triste realtà, ma la cosa peggiore è che se n'è iniziato a parlare solo due anni dopo la scoperta del bug da parte degli hacker, grazie ad un gruppo di esperti in sicurezza informatica che hanno subito allertato il web e lavorato su una patch in grado di risolvere il problema.
Cos'è Heartbleed
La minaccia potrebbe aver consentito ad hacker malintenzionati di accedere a un'enorme quantità di dati personali negli ultimi due anni, nonostante ci si fosse connessi a siti tramite connessione OpenSSL protetta . La pericolosissima falla di sicurezza è stata scoperta da un gruppo di esperti in sicurezza finlandesi che lavorano per un'azienda di Saratoga, in California, e da due esperti della sicurezza di Google.
Potrebbe essere la più grande fuga di dati della storia della rete, perchè nel lasso di tempo intercorso tra la scoperta della falla di sicurezza da parte degli hacker e la soluzione al problema, chiunque a fosse stato a conoscenza del bug avrebbe potuto accedere alla cronologia completa dei computer connessi, VPN (Virtual Private Network).
Inizialmente progettato dalla Netscape Communications, un'azienda che si occupa delle autenticazioni e delle comunicazioni crittografate, l'HTTPS è praticamente diventato uno standard per tutte le connessioni a siti nei quali vengono gestiti i dati personali degli utenti: la modalità di protezione avviene tramite lo scambio di certificati di sicurezza, che garantiscono quindi la cifratura dei dati, ed il normale protocollo HTTP.
In soldoni viene creato un canale di comunicazione protetto che garantisce (o almeno avrebbe dovuto garantire) che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione.
Violare queste connessioni protette vuol dire togliere il lucchetto ad internet, e avere la possibilità di accedere a qualunque tipologia di informazione scambiata in rete, senza lasciare alcuna traccia: un problema gravissimo, che va ben oltre il concetto ristretto di privacy (che ultimamente si associa principalmente ai social network), diffusissimo praticamente in tutto ciò che riguarda i dati personali di ogni singolo individuo sul web.
Le domande sull'origine della falla aumentano giorno dopo giorno, e sono sempre di più gli utenti che associano questa pericolosissima falla di sicurezza allo scandalo relativo alle intercettazioni del Datagate. Il punto fondamentale della questione però, è che in un periodo in cui tutti gli utenti sono ormai entrati nell'ottica complottista di essere spiati in rete da agenzie di intelligence e provider, l'idea che negli ultimi due anni le proprie password, i dati personali oltre a tutti quelli relativi alle proprie credenziali bancarie, siano stati alla mercè di qualsiasi malintenzionato a conoscenza del bug, rappresenta forse il colpo di grazia alla fiducia degli utenti verso i propri internet provider e la rete stessa.
I siti affetti da Heartbleed
Yahoo! con il suo Tumblr, Flickr e Oculus, sono tra i siti più vulnerabili. Ma gli esperti di tutto il mondo non escludono assolutamente che, in passato, anche gli altri big del web abbiano potuto essere affetti da questa pericolosissima falla di sicurezza.
Google, Amazon e Yahoo hanno subito annunciato di essere a lavoro per risolvere il problema o di averlo già risolto. "Facebook ha attivato un potenziamento della protezione nell’ambito del sistema OpenSSL prima che il problema del bug Heartbleed fosse reso noto" – spiega inoltre il social network in una comunicazione ufficiale – "Attualmente il social network non ha rilevato nessuna attività sospetta sugli account delle persone e continua a monitorare la situazione molto attentamente".
Ecco un elenco aggiornato di tutti i siti più importanti e dei relativi status di sicurezza:
- Google – Bug risolto. Si raccomanda il cambio della password
- Facebook – Bug risolto. Si raccomanda il cambio della password
- Instagram – Bug risolto. Si raccomanda il cambio della password
- YouTube – Bug risolto. Si raccomanda il cambio della password
- Yahoo! – Bug risolto. Si raccomanda il cambio della password
- Amazon – Non vulnerabile
- Wikipedia – Bug risolto. Si raccomanda il cambio della password
- LinkedIn – Non era vulnerabile
- eBay – Non era vulnerabile
- PayPal – Non era vulnerabile
- Twitter – Non era vulnerabile
- Chase – Non era vulnerabile
- Bing – Bug risolto. Si raccomanda il cambio della password
- Pinterest – In attesa di risposta
- Tumblr – Bug risolto. Si raccomanda il cambio della password
- WordPress – In attesa di una risposta ufficiale
- MSN – Bug risolto. Si raccomanda il cambio della password
- Microsoft – Bug risolto. Si raccomanda il cambio della password
- Flickr – Bug risolto. Si raccomanda il cambio della password
- Blogger – Bug risolto. Si raccomanda il cambio della password.
Come proteggersi da Heartbleed
Fortunatamente la natura di Heartbleed è molto simile ad una falla di sicurezza che proprio recentemente è stata riscontrata in una funzionalità tipica di Linux, e la risoluzione del problema è molto simile. Scoperto il problema, OpenSSL ha subito ricevuto un aggiornamento in grado di correggere il bug ed assieme all'uso di un browser aggiornato, dovrebbe essere sufficiente a garantire di nuovo la sicurezza a tutti gli utenti del web.
Nonostante la stragrande maggioranza dei browser venga aggiornata automaticamente, il consiglio è quello di verificare che la versione del proprio navigatore web sia l'ultima rilasciata dagli sviluppatori e, nel caso in cui non fosse così, correre immediatamente ai ripari.
