ROMA – A quasi una settimana dalla scoperta, continua a sanguinare ‘Heartbleed‘, una delle più gravi ‘infezioni’ del web che ha compromesso, in una sorta di effetto domino, la sicurezza di siti, apparecchi hi-tech ma anche dispositivi mobili e app. Mentre si è insinuato un altro ‘baco’, forse peggiore: la National Security Agency, quella al centro del Datagate, avrebbe saputo della falla e l’avrebbe sfruttata per spionaggio internazionale. Ipotesi che l’agenzia governativa americana ha prontamente smentito.
Heartbleed è il ‘bug’ che ha messo ‘ko’ il protocollo Open Ssl, quello relativo alla sicurezza utilizzato da milioni di siti nel mondo – social network, banche, gestione della posta elettronica, vendite online – per criptare il passaggio dei dati più sensibili. A scoprire il baco qualche giorno fa, un gruppo di ricercatori finlandesi che lavora per la società Codenomicon di Saratoga, in California, insieme a due esperti della sicurezza di Google. Ma il bug in realtà ‘circolava’ da oltre due anni ed è stato frutto di un errore, come ha rivelato uno dei programmatori del protocollo Open Ssl, Robin Saggelman.
In questo lasso di tempo – secondo Bloomberg – la National Security Agency Usa (Nsa) era a conoscenza della falla e l’avrebbe sfruttata per raccogliere informazioni di intelligence. Dubbio già insinuato nei giorni scorsi dall’esperto di sicurezza Usa Bruce Schneier che ha definito Heartbleed “una catastrofe”. “Non eravamo a conoscenza della vulnerabilità”, ha replicato un portavoce della Nsa.
La Casa Bianca, a sua volta, ha affermato che quando il governo scopre un bug della portata di Heartbleed, “è nell’interesse nazionale” mettere a conoscenza le persone interessate. Resta, intanto, un dato di fatto: il ‘lucchetto’ che proteggeva milioni e milioni di utenti si è rotto da tempo e non si riesce al momento a quantificare esattamente cosa sia stato compromesso.
La falla, infatti, non solo ha riguardato i maggiori server del web ma ha toccato pure apparecchi elettronici come i ‘router’ (su cui scorre il traffico Internet) e i sistemi ‘firewall’ per la sicurezza delle reti. E anche i dispositivi mobili come smartphone e tablet non sono al sicuro, Sempre secondo Bloomberg, circa sarebbero in pericolo i dispositivi che montano una particolare versione del sistema operativo Android (4.1.1 Jelly Bean).
Mentre per Trend Micro, alcune app del Google Play Store – 1300 su 390mila esaminate – sono risultate connesse a server vulnerabili. Tra queste, ci sono app bancarie e per i pagamenti online. E cambiare le password non risolve il problema fino a che gli sviluppatori di app e i ‘web service provider’ non tappano la falla. Esattamente come è accaduto nei giorni scorsi per i siti esposti ad Heartbleed, tra cui Yahoo! e Facebook, che solo dopo aver aggiornato la sicurezza hanno consigliato agli utenti di modificare le loro chiavi d’accesso.