OpenSSL e il bug Heartbleed: il punto della situazione

Una falla di OpenSSL ha compromesso per due anni la sicurezza dei protocolli SSL/TTL rendendo di fatto insicure le comunicazioni cifrate

Nelle ultime 24 ore  buona parte dei riflettori della rete sono stati puntati su OpenSSL e il famigerato bug Heartbleed – dall’estensione “heartbeat” che permette ai servizi di tenere aperta una connessione sicura per un determinato periodo di tempo. Il “cuore sanguinante” è divenuto il simbolo della vulnerabilità scoperta da una compagnia di sicurezza indipendente, la Codenomicon, in collaborazione con un ricercatore di Google, Neel Metha. Quali sono i pericoli della falla di sicurezza? Vediamo di fare un breve punto della situazione nell’articolo di oggi.

Protocolli di sicurezza

openssl bugOpenSSL è un software di sicurezza che si occupa di criptare certi dati sensibili – rendendoli quindi non intercettabili da malintenzionati – e quindi proteggerli fino al loro arrivo nel server di destinazione.  L’utilizzo dei protocolli SSL e TTL è ormai una prassi nel web, soprattutto per quanto riguarda servizi o più in generale ambiti in cui è richiesto un alto livello di sicurezza: siti di e-commerce, banche multicanale ma anche registrazioni a social network, servizi di messaggistica istantanea e email etc. Il  lucchetto che appare in alto a destra nei nostri browser è opera dei protocolli appena citati e sta a certificare che, una volta inviati determinati dati, questi non potranno essere intercettati/letti da terze parti in quanto criptati e visionabili solo dal destinatario delle informazioni (in questo caso il server che ha la relativa chiave di decifrazione).

Protocolli di (in)sicurezza?

Con il grave bug individuato in una delle librerie OpenSSL, tutte le misure cautelative adottate dai protocolli vengono meno. Heartbleed consente infatti ai malintenzionati di leggere la memoria dei sistemi protetti dalla versione buggata di OpenSSL (1.0.1f) e di carpire le informazioni in esso presenti (dalle password personali fino alle chiavi di decriptazione utilizzate dagli stessi server) o di intercettare i dati in transito (email, messaggistica etc). Si tratta quindi di un problema serio e da non sottovalutare. Anche perchè secondo le stime quasi il 66% dei siti internet potrebbe essere interessato da questa vulnerabilità: OpenSSL è infatti è la soluzione di cifratura predefinita di Apache e nginx.

Altre fonti, come ad esempio il Wall Street Journal mediante il lavoro d’analisi del ricercatore di sicurezza Ivan Ristic, riferivano due giorni fa che il problema riguardasse invece il 30% circa dei server. 

Quali siti sono “insicuri”, soluzioni e conclusione

La versione OpenSSL afflitta da Heartbleed è la 1.0.1f  rilasciata circa due anni fa. In seguito alla scoperta di Codenomicon è stata reso disponibile un security update (1.0.1g) pensato proprio per “mettere una pezza” al problema. L’unica soluzione attuabile è quindi quella di applicare la patch risolutiva e diffondere efficacemente la notizia in modo da diminuire il numero di soggetti attaccabili.

Per quanto riguarda i nomi altisonanti, “in prima battuta” sono stati confermati come vulnerabili, salvo update dell’ultim’ora, il sito web dell’FBI (!), Yahoo (anche se buona parte dei server sono stati aggiornati ieri), il noto hoster di immagini IMGUR, OKCupid ed Eventbrite, Amazon (alcune parti della infrastruttura sono state patchate ma i lavori sono ancora in corso). Sembra invece che Google, Twitter e Facebook non siano stati interessati dal problema.In ogni caso si consiglia di modificare le vecchie password.
I  lettori più curiosi possono anche consultare la lista che il sito Github sta attualmente stilando.

Il bug è stato a disposizione degli hacker per quasi due anni e una serie non stimabile di furti potrebbe essere già stata eseguita senza lasciare alcuna traccia. I più maliziosi ipotizzano che questa vulnerabilità sia stata utilizzata anche dai servizi segreti statunitensi, come l’NSA, per l’acquisizione illegale di informazioni ma si tratta ovviamente solo di congetture e supposizioni.