La notizia del bug in OpenSSL ha ormai fatto il giro del mondo, e ha allarmato un sacco di gente. Il problema è che gli utenti non possono farci nulla. Il fatto che quasi tutti i siti del mondo fossero, e spesso ancora sono, vulnerabili a una falla che permette di rubare dati di qualsiasi tipo, compresi credenziali di accesso e dati sensibili, è un disastro che non possiamo fare altro che guardare impotenti.
Riassumendo, è stata scoperta una gravissima falla di programmazione in OpenSSL, una libreria usata da chi fa siti web e che si occupa di crittografare le informazioni, potenzialmente in grado di rendere intercettabili le chiavi crittografiche e i dati privati di alcuni dei più importanti siti e servizi del World Wide Web e di una miriade di siti minori.
Il bug è stato creativamente chiamato Heartbleed (cuore sanguinante) dal momento che il modulo che permette il furto dei dati si chiama Heartbeat (battito cardiaco). Un po' crudo, ma rende l'idea della gravità.
Il baco è stato scoperto da un'azienda di sicurezza indipendente che si chiama Codenomicon, con la collaborazione di un Security Engineer di Google. La falla può essere facilmente sfruttata da cyber-criminali per rubare informazioni che dovrebbero essere protette dal codice SSL o TLS con relativa facilità.
OpenSSL è molto popolare, ed è una implementazione open-source dei protocolli SSL e TLS, in grado di abilitare la relativa protezione crittografica per un grandissimo numero di siti web; tanto per citarne uno, Apache web server - sul quale è basato ad occhio e croce mezzo internet - utilizza proprio OpenSSL.
Entrando nei dettagli, si scopre che la falla è dovuta ad una estensione che risale al Febbraio 2012 di OpenSSL, chiamata TLS Heartbeat Extension. Il bug è stato descritto con codice ID CVE-2014-0160 e permette a un hacker di leggere fino a 64Kb di memoria alla volta di un server o di un computer ad esso connesso. Esaminando la memoria 64kb alla volta, l'hacker può scovare senza problema tutte le chiavi, password e altre informazioni che dovrebbero essere crittografate.
I ricercatori hanno dichiarato che "abbiamo testato alcuni dei nostri sistemi dal punto di vista di un attaccante. Abbiamo così attaccato noi stessi dall'esterno, senza lasciare alcuna traccia. Senza dover utilizzare credenziali o informazioni pricilegiate, siamo stati in grado di rubare da noi stessi le chiavi segrete usate per i nostri certificati X.509, password e nomi utenti, messaggi, mail ed altri documenti critici".
La falla scoperta.. apre letteralmente il vaso di Pandora, in quanto è in circolazione da Marzo 2012. La vulnerabilità che affligge i protocolli di Transport Layer Security della pare Heartbeat di OpenSSL, è anche più grave del recente bug SSL di Apple, che permetteva attacchi MitM (Man in the Middle), naturalmente ben più difficili da mettere in opera rispetto a quanto è facilmente sfruttabile il baco di Hearbleed.
Questo è il bollettino di sicurezza in cui si avvisano gli utenti del problema. Un po' stringato, ma efficace.
Si stima che il bug renda vulnerabile qualcosa come il 66% di Internet, compresi siti come quelli di Yahoo Mail o perfino quello dell'FBI. Gli scopritori hanno aggiunto che "tuttavia questo bug ha lasciato un grande numero di chiavi private ed altri segreti esposti su Internet. Considerata la lunga esposizione, la facilità con cui è possibile sfruttarla e la frequenza degli attacchi che non lasciano traccia, questa esposizione va considerata in modo estremamente serio".
Purtroppo, chi deve prendere provvedimenti sono i gestori dei siti e non gli utenti finali, che non possono far altro che aspettare. Per fortuna, il bug è stato risolto immediatamente dopo la segnalazione e, come già detto, è sufficiente che chi gestisce dei server Web aggiorni OpenSSL alla versione 1.0.1g. Le versioni più vecchie (0.98 o 1.0.0x) non sono affette dal problema, mentre tutte quelle dalla 1.0.1 fino alla 1.0.1f lo sono. Inoltre, sembra che alcuni provider stiano filtrando gli heartbeat (l'operazione incriminata e vulnerabile) quando le intercettano in ingresso nelle loro server farm.
Se siete curiosi, potete fare un giro su questo sito e verificare se qualcuno dei siti che usate solitamente è ancora vulnerabile. Sul sito Heartbleed.com è possibile leggere ulteriori informazioni.