“Heartbleed”, la vulnerabilità che mette a rischio migliaia di siti Internet

10 Apr 2014

AGGIORNAMENTO: in un versione precedente di questo articolo abbiamo affermato, citando Github, che gli utenti su di un sito chiamto HideMyAss erano stati colpiti da Heartbleed. Un rappresentante del sito ci ha fatto presente che il bug non ha colpito i suoi utenti e abbiamo rimosso il sito dalla nostra lista.  

AGGIORNAMENTO #2: il post è stato aggiornato con la lista dei servizi realmente interessati dal problema, siti che hanno ufficialmente raccomandato agli utenti di cambiare le password.

Se si parla di una vulnerabilità in un importante programma radiofonico delle otto del mattino, come lo statunitense Morning Edition di David Green, vuol dire che si tratta di qualcosa di serio. È proprio quello che è successo ieri: una seria vulnerabilità, dal nome “Heartbleed”, è stata individuata nel pacchetto OpenSSL, uno dei sistemi di crittografia più utilizzati su Internet. Se non avete idea di cosa stiamo parlando, non preoccupatevi, vi spiegheremo tutto in questo articolo.

Heartbleed

Quando stabiliamo una connessione criptata con un sito Internet (per esempio con Google, Facebook o il sito della nostra banca) i dati vengono cifrati mediante il protocollo SSL/TSL. Molti server web, anche piuttosto conosciuti, si avvalgono della libreria open source OpenSSL per svolgere questo compito. All’inizio di questa settimana, OpenSSL ha risolto il bug, battezzato “Heartbleed”, che interessava l’implementazione del protocollo TSL. Questo bug potrebbe rivelare fino a 64 kB di memoria di un server web.

In altre parole, la falla avrebbe consentito a chiunque su Internet di accedere alla memoria di un server protetto da una versione vulnerabile della libreria. Nella peggiore delle ipotesi, questa piccola parte di memoria potrebbe contenere dati riservati (nomi utente, password o persino la chiave privata, utilizzata per cifrare la connessione). Inoltre, chi sfrutta questa vulnerabilità non lascia tracce, per cui non c’è modo di sapere se un server è stato hackerato e quali dati sono stati sottratti.

Abbiamo una buona notizia e una cattiva. La buona notizia è che OpenSSL ha già risolto il bug. La cattiva è che non c’è garanzia che i siti e i servizi colpiti da Heartbleed abbiano già implementato la patch. Ma c’è dell’altro: a quanto pare, è piuttosto facile sfruttare questa vulnerabilità e esiste da un paio d’anni ormai. Ciò vuol dire che, in questo lungo lasso di tempo, potrebbero essere stati rubati i certificati di sicurezza di molti siti, così come informazioni private di utenti e password.

Cosa possiamo fare come utenti?

Aggiornamento: Mashable ha raccolto una lista di comunicati rilasciati dai servizi web interessati dal problema. Per farvi risparmiare tempo, potete semplicemente cambiare la vostra password su tutti i seguenti siti: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist. Usa una password unica per ogni sito web!

  • Verificare se i siti Internet che abbiamo utilizzato erano vulnerabili: ci sono online alcuni strumenti per individuare la presenza di una vulnerabilità; tuttavia, è importante sapere se tale vulnerabilità esistesse anche prima. Per fortuna, è disponibile una lunga lista di siti Internet piuttosto popolari che sono già stati controllati. La buona notizia è che Google e Facebook non sono stati coinvolti. La cattiva notizia: Yahoo, Flickr, Duckduckgo, LastPass, RedTube, OKCupid, 500px e molti altri siti erano sì potenzialmente vulnerabili. Nel caso avessimo un account su uno di questi siti, dobbiamo prepararci e metterci in azione.
  • Verficare se un sito Internet è vulnerabile adesso: ecco qualcosa che fa al caso nostro:
  • Quando il proprietario del sito Internet risolve il bug, bisogna reimpostare anche i certificati del sito. Per questo dobbiamo monitorare il certificato del sito e assicurarci di utilizzare il nuovo certificato (pubblicato l’8 di aprile o successivamente). Per fare ciò, è necessario spuntare l’opzione di verifica revoca del certificato del server presente nel nostro browser. Qui di seguito l’impostazione corrispondente in Google Chrome:
  • In questo modo il browser non utilizzerà vecchi certificati. Per verificare manualmente la data di pubblicazione, possiamo cliccare sul lucchetto verde che compare nella barra degli indirizzi , fare click su “Informazioni” e poi su “Connessione”:
  • Il passo più importante: quando sappiamo che il server ha installato la patch ed il certificato è stato aggiornato, dobbiamo aggiornare immediatamente la password. Approfittiamo dell’occasione per rivedere la politica della privacy che adottiamo normalmente e cominciare ad utilizzare delle passowrd robuste, ma al contempo semplici da ricordare. Ci sono strumenti, come Password Checker, che aiutano a verificare la robustezza di una password.