Heartbleed, una lezione che non si impara

Circa l'86 percento degli americani intervistati non sa cosa sia Heartbleed, ma almeno riconosce che la sicurezza sul Web dipende dalle proprie azioni

Heartbleed, una lezione che non si impara

È passato circa un anno da quando su queste pagine parlavamo di Heartbleed e scrivevamo importanti considerazioni sulla lezione impartita da questo bug a provider e staff IT. A circa 12 mesi di distanza, viene pubblicato un report davvero preoccupante, che sembra dimostrare come bug di tale portata non sia capace di insegnare nessun tipo di lezione, soprattutto agli utenti.

Giusto qualche giorno fa parlavamo di altre gravi falle scoperte a carico del sistema di cifratura RC4 del protocollo di sicurezza TLS, quando ci siamo imbattuti sul report pubblicato da Dashlane, dove sono indicate cifre preoccupanti riguardanti il fenomeno Heartbleed.

A circa un anno di distanza dall’infausto bug SSL che ha colpito oltre il 66 percento dei siti protetti con crittografia TLS, si scopre che circa l’86 percento degli americani intervistati non sappia neanche cosa sia Heartbleed.

Una percentuale impressionante, che si riassume in un più laconico 9 americani su 10 non conoscono Heartbleed.

A dimostrare come la scoperta di questi bug sia per le persone lontana dalla propria realtà operativa, anche se realmente non lo è, sono altre incredibili percentuali.

Gli intervistati di Dashlane esprimono preoccupazioni per la sicurezza del proprio numero di assistenza sociale nel 45 percento dei casi e per il proprio conto corrente nel 27 percento dei casi. Peccato che poi queste informazioni vengano spesso trasmesse via email e che molti dei bug a carico del sistema TLS/SSL siano anche operativamente incidenti sul sistema di invio dei messaggi di posta elettronica.

E, cosa più curiosa, solo 1 percento degli intervistati si preoccupa della sicurezza della propria casella di posta elettronica.

Questa percentuale dimostra come gli utenti si fidino della posta elettronica a tal punto da far circolare attraverso di essa informazioni che dovrebbero essere mantenute riservate e da qui si comprende anche il perché dell’efficacia degli attacchi di phishing perpetrati proprio via email.

Oltre Heartbleed, la presa di coscienza degli utenti sulla propria responsabilità Web

Heartbleed, quindi, non sembra aver insegnato nulla gli utenti che ne ignorano completamente l’esistenza, ma c’è di buono che circa il 32 percento degli intervistati crede che il problema della sicurezza sul Web dipenda prima di tutto dal proprio comportamento. A seguire, il 24 percento degli utenti non sa chi li debba proteggere sul Web, il 23 percento indica le compagnie tecnologie come le entità che dovrebbero fungere da angeli custodi e seguono poi percentuali più fioche nei confronti delle corporations, del governo e del presidente Obama.

Per quanto Heartbleed sia davvero uno sconosciuto, in realtà gli utenti sembrano aver fatto comunque un passo in avanti nel comprendere che molte delle pericolosità incontrate sul Web dipendano dai propri comportamenti. Così, Dashlane, che ha anche diffuso un video informativo per sensibilizzare sulla questione, offre alcuni consigli sempre validi, come proteggere i propri account con password univoche e ben formulate, da cambiare almeno una volta al mese e da proteggere con servizi di protezione delle identità e con password manager adatti all’uopo.

Il report di Dashlane è anche consultabile sotto forma di infografica, che riportiamo qui di seguito.

Heartbleed, una lezione che non si impara