Heartbleed, la falla si allarga: i siti si possono clonare
Heartbleed
ROMA – Non c’è riparo da Heartbleed: la vulnerabilità del codice di crittografia OpenSSL usato per proteggere dati sensibili online come password e numeri di carte di credito, ha esposto circa due terzi del traffico internet globale. Ma la falla rischia di allargarsi: gli stessi siti che si sono aggiornati sulla sicurezza, possono essere stati clonati con tanto di falsificazione del certificato di autenticità, con lo scopo di ingannare gli internauti. La società di sicurezza CloudFlare ha dimostrato che attraverso il bug è possibile rubare non solo i dati ma anche i certificati di sicurezza che stabiliscono l’autenticità di un sito, quelli che servono a capire se “google è davvero google”, per intenderci.
Gli hacker, dunque, potrebbero essere in grado di replicare alla perfezione un sito, spingendo gli utenti all’immissione di dati, senza alcuna segnalazione di pericolo da parte dei browser, cioè i programmi per navigare online che solitamente verificano l’attendibilità di un sito a partire da questi certificati. A dimostrazione di questa tesi, lo scorso weekend CloudFlare ha lanciato una sorta di gara sfidando gli hacker a rubare, sfruttando la falla di Heartbleed, questi dati chiave, presumendo che fosse troppo difficile, ai limiti del possibile, farlo. E invece ben quattro sono riusciti nell’impresa. Con operazioni lunghe e molto laboriose, ma ce l’hanno fatta.
Di fronte a un simile scenario non sarà un cambio di password a proteggere gli utenti. Intanto, perché non tutte le piattaforme hanno aggiornato il sistema riparando la falla (e le password vanno cambiate solo dopo questa operazione) ma anche perché gli hacker potrebbero, appunto, aver rubato i certificati di sicurezza prima della riparazione stessa. L’unico rimedio è la revoca degli attuali certificati e l’istituzione di nuovi. Questa per gli esperti è un’operazione colossale che riguarderebbe qualcosa come 500 mila siti e che, se attuata nelle prossime settimane, potrebbe tradursi in un forte rallentamento di tutto il web. Tanto per fare un esempio, aprire una singola pagina web sarebbe paragonabile a scaricare un video di mezz’ora.
Intanto alcune società di sicurezza informatica come McAfee e Symantec hanno messo a disposizione degli strumenti online, gratis, per controllare se un sito risulta ancora vulnerabile ad Heartbleed. Check-up che si aggiungono a Last Pass e a quello dell’informatico italiano Filippo Valsorda. Arrivano pure le prime ammissioni di perdite di dati in seguito ad Heartbleed: l’agenzia delle entrate canadese e un famoso sito britannico per genitori (Mumsnet). Invece nella conta dei prodotti vulnerabili – dopo siti e perfino router, attraverso i quali scorre il traffico di rete – ci sono ancora alcuni dispositivi mobili Android, quelli basati sulla versione 4.1.1. E fra le centinaia di app a rischio – su varie piattaforme – c’è il servizio chat BlackBerry Messenger per iOS di Apple e Android. La riparazione è attesa solo per venerdì.
