La falla più pericolosa di Internet

Una grande vulnerabilità, chiamata Heartbleed (CVE-2014-0160), da almeno due anni sta mettendo a rischio i dati delle connessioni protette a milioni di siti online. Il problema riguarda il sistema per criptare le comunicazioni OpenSSL, utilizzato su circa due terzi dei server di Internet, i computer ai quali ci colleghiamo ogni giorno per leggere la posta, scambiarci messaggi su Facebook, accedere al nostro conto in banca o mandare un tweet. I responsabili di OpenSSL hanno diffuso lunedì 7 aprile un aggiornamento per risolvere la vulnerabilità, ma secondo gli esperti di sicurezza informatica potrebbero essere necessari mesi per mettere le cose a posto.

OpenSSL
Alcuni tipi di scambi di dati online, contenenti informazioni sensibili come un numero di carta di credito o la propria corrispondenza, hanno la necessità di essere criptati, resi cioè leggibili solamente dal mittente e dal ricevente grazie alla condivisione di un codice in comune. OpenSSL provvede a trasformare i dati del mittente in un messaggio codificato che può essere aperto e letto solamente dal ricevente. In questo modo, se qualcuno prova a spiare lo scambio di informazioni si ritrova davanti una grande quantità di codice criptato, illeggibile senza la giusta chiave per interpretarlo.

OpenSSL esiste dagli anni Novanta e fino a ora si era distinto come uno dei sistemi più affidabili per criptare le comunicazioni online. Società piccole e grandi, molto grandi, di Internet lo usano da tempo per mantenere la sicurezza delle informazioni che sono scambiate sui loro server. I browser indicano di solito nella barra degli indirizzi se ci si trova su un sito protetto, mostrando l’icona di un lucchetto. Facebook, Google, Yahoo e molti altri utilizzano OpenSSL.

Scoperta
Heartbleed, che letteralmente significa “cuore sanguinante”, è stata scoperta da un gruppo di ricercatori della società di sicurezza informatica finlandese Codenomicon e, separatamente, da Google Security, la divisione della società che indaga sulla presenza di possibile falle nei propri sistemi informatici. Dopo avere scoperto il problema, i ricercatori si sono coordinati con il gruppo di sviluppo di OpenSSL per trovare insieme una soluzione e averla da subito pronta al momento dell’annuncio della vulnerabilità. Per spiegare che cos’è Heartbleed e come bisogna procedere per sistemare le cose, è stato creato un sito apposta.

Heartbleed
In condizioni normali, quando si visita un sito protetto con un sistema SSL, il computer provvede a mandare periodicamente un breve messaggio di controllo al server cui si è collegato tramite la connessione sicura, per essere certo che sia ancora online e funzionante. Quelli di Codenomicon e di Google Security hanno scoperto che una falla permette di inviare un falso messaggio breve di controllo al server, facendogli credere di essere il computer della connessione sicura e ottenendo in questo modo i dati presenti nella memoria temporanea del server (RAM).

All’interno della RAM si possono trovare informazioni molto importanti sugli utenti che sono collegati al server. Un utente malintenzionato potrebbe scoprire le password degli account di diversi servizi, altre informazioni personali e potrebbe raccogliere altri dati sensibili come i numeri delle carte di credito. La vulnerabilità potrebbe essere sfruttata per ottenere le chiavi che servono per decodificare i messaggi criptati scambiati tra il proprio computer e il server cui si è collegato, utilizzando OpenSSL. In questo caso, un utente malintenzionato potrebbe avere ampio accesso agli account del computer verso cui ha condotto l’attacco. Secondo gli esperti di sicurezza informatica, basta avere un minimo di dimestichezza con i linguaggi di programmazione per imparare a sfruttare la vulnerabilità.

Due terzi dei server
OpenSSL è utilizzato su alcuni dei server più diffusi e popolari di Internet come nginx e Apache. Secondo alcune stime, fino a due terzi dei server usati nel mondo potrebbero essere interessati da Heartbleed. Fare un calcolo preciso è comunque impossibile perché molte società utilizzano soluzioni molto elaborate, con reti contenenti sistemi anche molto diversi tra loro. Microsoft ha annunciato di avere avviato le verifiche necessarie per garantire la sicurezza dei suoi server, Google ha spiegato di avere sistemato le cose prima che fosse divulgata la notizia di Heartbleed, mentre Yahoo ha avuto seri problemi per sistemare le cose e sembra essere la più interessata tra le grandi società di Internet. Facebook e Twitter hanno annunciato di avere eseguito diversi controlli e di avere sistemato le cose.

Tempi
Per risolvere la vulnerabilità, OpenSSL ha messo a disposizione di tutti i gestori di siti un aggiornamento del proprio sistema, che chiude la vulnerabilità impedendo che utenti malintenzionati possano ottenere nuove chiavi di sicurezza per decodificare le comunicazioni protette. Il problema è che impossibile stabilire quante chiavi siano state sottratte nei due anni in cui la falla è rimasta in circolazione. Chi è in possesso di quelle chiavi di sicurezza potrà probabilmente continuare a sottrarre dati per mesi, salvo i gestori dei server non effettuino un reset dei loro certificati, operazione lunga e costosa. Il timore è che molti gestori di sistemi con OpenSSL ritengano sufficiente l’aggiornamento all’ultima versione sicura di OpenSSL, trascurando i rischi che rimangono per le chiavi di sicurezza compromesse.

Che fare
Ogni singolo utente non può fare molto contro questa vulnerabilità, ma solo attendere che sia sistemata dai vari servizi che usa online e che funzionano con OpenSSL. C’è un sito per controllare quali servizi non sono stati ancora aggiornati, ma non è sempre affidabile. In alternativa si possono usare siti di analisi per vedere la data e la versione dei certificati usati, in modo da assicurarsi che siano successivi all’annuncio dell’esistenza di Heartbleed del 7 aprile.

Verificato che il servizio cui ci si collega è aggiornato, o avute conferme direttamente dal gestore, potrebbe essere una buona idea cambiare la password del proprio account. È una precauzione in più e non è detto che cambi molto le cose: la vulnerabilità è molto diffusa, ma questo non significa necessariamente che i propri account di posta o dei social network siano stati violati.