La falla Heartbleed non riguarda solo i siti
Il grave problema di sicurezza del sistema OpenSSL interessa diversi aggeggi che si collegano a Internet (e serve davvero cambiare le password?)
Da lunedì 7 aprile migliaia di esperti di sicurezza in tutto il mondo sono alle prese con Heartbleed, la grave falla scoperta all’interno di OpenSSL, il sistema per criptare le comunicazioni utilizzato su circa due terzi dei server di Internet, i computer ai quali milioni di persone si collegano ogni giorno per leggere la posta, chiacchierare su Facebook, mandare un tweet o fare un bonifico. La vulnerabilità permette teoricamente a un utente malintenzionato di ottenere dati da una connessione sicura, stabilita tra un computer e un server, senza che il proprietario del dispositivo se ne possa rendere conto. Secondo alcuni analisti si tratta del più grave problema di sicurezza nella storia di Internet, e non riguarda esclusivamente i server.
Non solo server
Cisco System, uno dei più grandi produttori al mondo di sistemi per creare reti e collegarsi a Internet, ha diffuso un comunicato dove si spiega che la maggior parte dei suoi server e dei suoi servizi online non sono stati interessati da Heartbleed. Nel caso contrario, praticamente tutte le più grandi società del mondo che hanno le loro reti connesse a Internet sarebbero state a rischio. Cisco ha però ammesso di avere riscontrato la presenza della falla in alcuni altri suoi prodotti, tra i quali ci sono: alcuni telefoni che funzionano collegandosi a Internet e non alla semplice rete telefonica; alcuni server venduti alle aziende per organizzare teleconferenze; sistemi per le comunicazioni interne negli uffici.
Almeno 16 diversi prodotti realizzati da Cisco sono risultati vulnerabili e la società sta lavorando per capire se altri 65, ritenuti a rischio, possano essere interessati da Heartbleed. La società ha annunciato che saranno diffusi nei prossimi giorni software di aggiornamento per risolvere il problema ed evitare che qualcuno si possa collegare ai sistemi difettosi per ottenere informazioni riservate, sfruttando la falla all’interno di OpenSSL.
Juniper, uno dei principali concorrenti di Cisco, ha annunciato di non avere trovato traccia di Heartbleed nei suoi principali prodotti. Un unico dispositivo della società, che serve per effettuare chiamate online, è risultato vulnerabile.
Cisco e Juniper utilizzano OpenSSL in un numero limitato di loro dispositivi, per questo motivo non ci sono grandi problemi con i loro prodotti. Apple con un comunicato ha confermato di non avere riscontrato problemi legati a Heartbleed nei suoi servizi online né nei sistemi operativi OS X per i Mac e iOS per iPhone e iPad.
La vulnerabilità potrebbe essere invece presente in numerosi router per uso domestico, le scatole che abbiamo in casa cui si collegano i computer e gli altri dispositivi per avere accesso a Internet. Di solito questi sistemi sono configurati per bloccare il traffico esterno quindi non dovrebbero esserci particolari problemi per la tutela dei propri dati. Un giro sul sito del produttore del proprio router per verificare che sia tutto a posto non costa comunque nulla, potrebbero essere disponibili aggiornamenti da effettuare per eliminare la falla.
Siti
Tornando ai server e ai milioni di siti interessati da Heartbleed, secondo gli esperti di sicurezza saranno necessari mesi prima che tutte le connessioni gestite tramite OpenSSL siano nuovamente sicure. Il problema sarà soprattutto con le aziende più piccole, che hanno meno risorse e capacità per affrontare questo tipo di problemi. Le grandi società di Internet, quelle su cui fanno affidamento centinaia di milioni di persone in tutto il mondo, si sono invece date da fare per sistemare le cose rapidamente.
Google, Microsoft, Facebook, Amazon, Yahoo e molte altre hanno aggiornato i loro sistemi per eliminare Heartbleed. Alcune società hanno potuto farlo prima del 7 aprile, quando la falla era ancora il segreto più grande nella storia di Internet. Altre, come Yahoo e Amazon, sono dovute correre ai ripari dopo l’annuncio di lunedì, diffuso in fretta e furia perché si temeva che la notizia stesse per trapelare su altri canali non ufficiali, dando un pericoloso vantaggio a chi organizza gli attacchi informatici online.
Errore
OpenSSL è un sistema open source e proprio per questo motivo è molto diffuso, perché offre soluzioni per criptare i dati nelle comunicazioni online (in modo che solo emittente e ricevente le possano decifrare) a basso costo e con un alto livello di affidabilità. Periodicamente OpenSSL viene aggiornato con migliorie al suo codice, e proprio durante uno di questi aggiornamenti effettuato il 31 dicembre 2011 fu introdotta per errore la falla. Uno dei responsabili dell’errore è stato il programmatore Robin Seggelmann: realizzò alcune righe di codice da aggiungere a OpenSSL per una nuova funzione e le propose ad altri membri dell’iniziativa che le approvarono senza accorgersi del bug.
Liste
Fare un elenco preciso e dettagliato dei siti aggiornati e nuovamente sicuri è praticamente impossibile. Mashable ha messo insieme una lista con i servizi online più conosciuti e utilizzati, indicando se siano stati interessati o meno da Heartbleed e se sia consigliabile cambiare le password per i loro account. Ci sono anche servizi per controllare un sito specifico: basta inserire il suo indirizzo nel campo di ricerca e il sistema controlla se sia stato effettuato o meno l’aggiornamento alla nuova versione di OpenSSL senza Heartbleed. Sono soluzioni abbastanza affidabili, ma talvolta possono dare falsi positivi o negativi.
Password
Secondo gli esperti di sicurezza e diversi gestori di servizi online, per stare tranquilli può essere una buona idea cambiare le proprie password soprattutto se si usa la stessa per più account. Le probabilità che qualcuno vi abbia rubato i dati di accesso ai servizi di posta o a un social network non sono comunque molto alte, ma è bene ricordare che la falla è esistita per almeno due anni. Alcuni siti come Disqus, il sistema per scrivere commenti che usiamo anche qui sul Post, raccomandano di cambiare quanto prima la propria password, mentre altri a partire da Google sono meno categorici e consigliano di farlo perché non si sa mai.
Prima di cambiare la password, verificate comunque che il sito che vi interessa sia stato aggiornato per eliminare la falla di Heartbleed. Se usate la stessa password per più servizi, può essere l’occasione per cambiarla e per usarne una diversa per ogni account.
foto: JONATHAN NACKSTRAND/AFP/Getty Images