Heartbleed: 200.000 sistemi sono ancora vulnerabili

A distanza di quasi tre anni Heartbleed, la vulnerabilità della libreria OpenSSL, è in grado di compromettere la sicurezza di numerosi sistemi

 

OpenSSL ed heartbleed: tre anni dopo

 

Tra fine Marzo ed Aprile 2014 l’attenzione della Rete si è rivolta ad OpenSSL e ad un fino ad allora sconosciuto bug, soprannominato “heartbleed”. La falla, come evidenziato da coloro che ne hanno fortunatamente scoperto l’esistenza, la compagnia di sicurezza Codenomicon e il ricercatore Google Neel Metha, sarebbe rimasta fuori dai radar per almeno due anni compromettendo la sicurezza di tutti i sistemi che si sono appogiati alla versione 1.0.1f  della libreria open source.

Nelle mani di utenti esperti, la vulnerabilità poteva infatti essere sfruttata per leggere la memoria dei sistemi protetti da OpenSSL ed “estrarre” informazioni sensibili, incluse le chiavi di cifratura adoperate dal server. Trattandosi di una soluzione utilizzata di default dai due web server più popolari del Web, Apache e Nginx, la vicenda venne ripresa anche dai siti non specializzati destando particolare clamore. L’aggiornamento che pose teoricamente fino al pericolo heartbleed arrivò in breve tempo (1.0.1fg) ma la sua adozione fu meno celere del previsto.

In una news pubblicata da Hosting Talk circa un anno dopo l’avvenimento, avevamo appreso come Heartbleed fosse tutt’altro che scomparso dal Web. Secondo un’infografica realizzata da Dashlane circa 500.000 siti risultavano ancora vulnerabili all’exploit. Come sarà la situazione a quasi 3 anni di distanza dalla scoperta del bug?

Shodan: 199,594 sistemi non sono stati aggiornati

E’ stato un tweet di John Matherly (founder Shodan, un motore di ricerca per l’IoT), successivamente ripreso da The Register, a rivelare il preoccupante dato.

Come è possibile osservare nella cartina qui di seguito, sono gli Stati Uniti a detenere il maggior numero di sistemi a rischio. Anche l’Italia è presente nella top10 con 4845 sistemi vulnerabili. E 75.000 sistemi utilizzano ancora Linux 3.x affidandosi a certificati SSL scaduti. 

Heartbleed 2017

Heartbleed, diffusione del bug aggiornata al 22/1/2017 – fonte Shodan

Il problema sembra riguardare anche note compagnie dell’ecommerce e non solo a livello globale:

Heartbleed: top10 compagnie - fonte Shodan

Heartbleed: top10 compagnie – fonte Shodan

Nonostante la tematica della “sicurezza” sia collocata di frequente nei report/studi di turno tra le principali preoccupazioni delle aziende che operano sul Web sembra che, all’atto pratico, vi sia ancora diversa strada da percorrere per sensibilizzare maggiormente le imprese e gli utenti privati.

The Register ricorda infatti come altre minacce individuate e neutralizzate ormai da diversi anni restino sempre ampiamente diffuse, dal il virus Stuxnet (individuato nel 2010) fino ad una grave falla della nota suite Office (patchata nel 2012).

Fonte

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *