Sicurezza dati Internet posta a rischio per OpenSSL HeartBleed, scoperto di recente ma attivo da 24 mesi. Gli utenti di Hosting Solutions non corrono rischi
Sicurezza Internet violata senza difficoltà e dati privati degli utenti alla mercé di qualsiasi pirata. Questo è il significato di HeartBleed, la parola che in questi giorni sta riempiendo le pagine e le homepage di tutti i siti Web mondiali e che indica una falla in OpenSSL, il protocollo di sicurezza HTTPS (il famoso lucchetto verde che compare nel browser quando si visita un sito “sicuro”) con cui si criptano i dati sensibili inviati via Internet durante le transazioni commerciali, le autenticazioni, le registrazioni e le tante altre operazioni del Web.
Partiamo con il dire che al momento gli utenti di Hosting Solutions non corrono alcun pericolo, in quanto l’azienda ha prontamente aggiornato i propri server con la versione più recente di OpenSSL (1.0.1G del 7 Aprile) risolvendo così il problema alla radice.
Il bug HeartBleed è però rimasto a disposizione degli hacker per oltre 24 mesi, durante i quali possono essere stati messi a segno una serie di furti dati senza precedenti e di dimensioni “catastrofiche”, come le ha definite Bruce Schneier, esperto di sicurezza.
Secondo gli scopritori della falla (un gruppo di ricercatori finlandesi e da due esperti della sicurezza di Google), qualsiasi esperto ha potuto estrarre 64 chilobyte di dati dalla memoria RAM di server affetti dal problema, venendo così a conoscenza di chiavi private SSL, password utente e tutte le altre informazioni riservate che possono dare accesso a servizi erogati via Web.
Circa i due terzi dei siti presenti in Internet sono stati affetti dal problema, compromettendo anche la sicurezza di alcuni colossi, come Google, Facebook, YouTube, Wikipedia, Blogspot, MSN e tutti i prodotti online Microsoft (come Live, MSN, Bing, ecc), Yahoo! e tante altri fra cui i principali siti di Internet banking e anche l’FBI americana.
Sembra che invece non fossero affetti dal bug i siti di Amazon, LinkedIn, eBay, PayPal, Twitter e pochi altri. Anche LastPass rassicura sull’integrità della sua piattaforma, grazie ai layer di protezione aggiuntivi.
Falla sicurezza Heartbleed: si risolve così!
Risolvere il problema non è comunque difficoltoso.
In qualità di webmaster possiamo mettere alla prova il nostro dominio utilizzando il test online messo a disposizione dal programmatore italiano Filippo Valsorda, che analizza il sito e ne verifica la vulnerabilità. Nel caso in cui ci trovassimo di fronte alla falla, dovremmo disabilitare la funzione Heartbeat per sospendere l’utilizzo del componente fallato e potremmo anche aggiornare immediatamente l’OpenSSL del server (o chiedere al provider di provvedere all’update) passando alla versione 1.0.1G in cui il bug è stato corretto e ricordando che le versioni 1.0.0 e 0.9.8 non sono affette dal problema. Successivamente, dovremmo passare alla revoca di tutti i certificati digitali, richiedendone l’emissione ai provider e alle CA autorizzate.
In qualità di utenti dei servizi su citati, possiamo fare ben poco. Nei 24 mesi in cui il bug è rimasto attivo, molti dati possono essere stati trafugati senza lasciare traccia e per questo è conveniente procedere a un cambio di tutte le credenziali almeno una volta al mese per i prossimi tre mesi, ricordando che questa procedura dovrebbe essere una buona pratica abituale e non un’attività di emergenza.