Il problema è insito nella libreria software OpenSSL, ossia una porzione di software utilizzato da moltissimi provider e servizi online per implementare le misure di sicurezza previste in seno ai protocolli SSL/TLS. SSL è il protocollo che consente al browser di comunicare dati criptati al server di destinazione: così facendo nessun intervento lungo il percorso può captare le comunicazioni intercorse, impedendo pertanto il furto di dati o di identità. OpenSSL è ciò che consente di mettere in pratica il protocollo, portando tali misure di cautela all’interno dei servizi che intendono implementare un tasso di sicurezza assoluta.
Heartbleed Bug: cosa può succedere?
La gravità del bug sta in tre elementi: primo, nella fortissima diffusione di OpenSSL sul mercato; secondo, nella fiducia riposta dall’utenza nel protocollo SSL; terzo, nel fatto che eventuali azioni di attacco possono avvenire senza lasciare traccia alcuna.
Il bug consente la lettura della memoria sul sistema di un utente remoto, potendo così carpirne nome, password, informazioni personali e informazioni caricate all’atto di utilizzo del servizio o del provider. Dalla password di Gmail alle informazioni su Facebook, insomma: tutto è potenzialmente aperto agli occhi di chi volesse far propri tali dati. Un eventuale malintenzionato potrebbe quindi non solo raccogliere dati altrui, ma anche sottrarne l’identità virtuale ed operare impunemente con credenziali non proprie. Il tutto, peraltro, senza agire necessariamente come “Man In The Middle”, ma contattando direttamente il servizio vulnerabile per arrivare all’utente.
Secondo quanto comunicato sul sito ufficiale heartbleed.com, il 66% dei siti Web è vulnerabile in quanto ospitato su server Apache o altre distribuzioni utilizzanti OpenSSL: basta questo numero per quantificare la capillarità e l’estensione del problema. Impossibile però capire se qualcuno avesse già scoperto il bug e ne avesse approfittato: eventuali abusi non avrebbero comunque lasciato traccia e l’unica cosa che si può fare ad oggi è voltar pagina quanto prima con software update che ripristino la presunta sicurezza del protocollo e della sua implementazione più diffusa.
La scoperta
Il bug è stato scoperto da un gruppo di ingegneri indipendenti del team Codenomicon (che rispondono al nome di Riku, Antti e Matti) in collaborazione con Neel Mehta di Google Security. Quest’ultimo ha infine riportato la scoperta al team OpenSSL dando il via ai lavori di correzione.
La soluzione
La soluzione c’è. Una nuova versione di OpenSSL è già stata distribuita in concomitanza con la pubblica ammissione relativa al bug. Ora sta ai vari attori interessati intervenire con un aggiornamento sollecito che risolva le singole situazioni: dai produttori di sistemi operativi, fino ai produttori indipendenti di software, passando per provider e sviluppatori di servizi online, tutti dovranno fare quanto necessario per aggiornare subito OpenSSL e darne inoltre comunicazione alle persone interessate.