A poco meno di due mesi dalla scoperta di Heartbleed, la gravissima falla di sicurezza che potrebbe aver causato la più grande fuga di dati della storia della rete, mettendo a rischio il 66% dei dati personali trasmessi nel web negli ultimi due anni, arrivano nuove – pessime – notizie per OpenSSL, la più diffusa versione open source del protocollo utilizzato per crittografare i dati e garantire una comunicazione sicura tra client e server, come ad esempio i servizi online di banche e social network.
A fare la scoperta è Masashi Kikuchi, un esperto in sicurezza informatica giapponese, che sarebbe riuscito a scovare e risolvere ben sei falle di sicurezza in OpenSSL, la più pericolosa delle quali sarebbe presente sin dalla prima versione del protocollo per la sicurezza online (per la precisione la 1.01) e permetterebbe a hacker e malintenzionati di decrittare e modificare il traffico intercettato tra client e server. Un problema importante, che sarebbe stato risolto nelle ultime ore con un aggiornamento, ma che lascia non pochi dubbi e perplessità circa la sicurezza online degli utenti e delle ignare vittime, visto che la vulnerabilità era presente già nel 1998.
Tuttavia, la nuova falla di sicurezza è sensibilmente diversa da Heartbleed. Se il bug che ha fatto tremare il web permetteva ai pirati informatici di violare le connessioni protette per avere la possibilità di accedere a qualunque tipologia di informazione scambiata in rete, senza lasciare alcuna traccia, il nuovo bug scoperto dall'ingegnere giapponese permetterebbe un'intromissione solo durante la fase di autenticazione di una connessione criptata, nel passaggio dal traffico non protetto a quello protetto. Una falla ideale per gli attacchi mim (man-in-the-middle), in genere non utilizzati su larga scala ma mirati a violare un sistema informatico ben preciso, grazie ai quali si intercetta la chiave di cifratura che utilizza il server per accedere alle informazioni protette per sottrarre (o modificare) tutte le informazioni relative a una determinata connessione.
Un bug presente da oltre quindici anni, che potrebbe interessare milioni di siti web e app per dispositivi mobili che proteggono il traffico sensibile dei propri utenti utilizzando OpenSSL, come le prime versioni di Android Jelly Bean rilasciate nel corso dell'estate 2012, ma ancora ampiamente diffuse tra utenti di dispositivi di fascia medio/bassa.
La buona notizia è che per dare vita a un attacco che sfrutti questa vulnerabilità, è necessario che sia il server che il client siano vulnerabili. Una casualità ad oggi poco probabile, strettamente dipendente dalla versione del software utilizzato sui server e che, secondo quanto dichiarato da Ivan Ristic, responsabile dell’SSL Labs specializzato in sicurezza ICT, è presente solo sul ventiquattro percento dei sistemi attualmente online. Inoltre, i principali browser sono da anni sviluppati in modo da utilizzare le proprie implementazioni dei protocolli SSL/TLS , versioni non vulnerabili tramite questo bug e che quindi non possono essere vittime di attacchi man-in-the-middle, nonostante si connettano a server potenzialmente rischiosi.
Come proteggersi dai bug di sicurezza
Purtroppo la protezione dei dati degli utenti è strettamente collegata allo sviluppo di bugfix e alla costante analisi dei protocolli di sicurezza. In genere, scoperto un problema, gli sviluppatori e – in questo caso – OpenSSL rilasciano immediatamente aggiornamenti in grado di correggere il bug che, assieme all’uso di un browser aggiornato, dovrebbero essere sufficienti per riuscire a ottimizzare la sicurezza relativa ai dati personali di tutti gli utenti della rete.
Il consiglio è quello di verificare con costanza che la versione del proprio browser sia aggiornata e, nel caso non fosse così, correre immediatamente ai ripari.
