È allarme rosso online, per la scoperta di una falla nel sistema OpenSSL, il protocollo di sicurezza usato dalla grande maggioranza dei siti per la trasmissione di dati più delicati: carte di credito, password, informazioni personali e tutto quanto transita e vive ormai sulla Rete. Heartbleed ha immediatamente mobilitato tutti i più importanti siti del mondo nella installazione della patch di sicurezza, che dovrebbe tappare il buco, messa a disposizione ieri. Ma qual è il confine tra il sensazionalismo e la realtà, tra il pericolo reale e quello amplificato dal tam tam del web? E soprattutto, chi deve preoccuparsi e mettersi ai ripari? Gastone Nencini, Country Manager in Italia di TrendMicro , società specializzata in sicurezza informatica, non vuole fare sconti, ma neppure esasperare i termini del problema. “L’allarme ha alzato il livello di attenzione, ma le contromisure sono, per così dire, posticce, nel senso che sono misure su livelli di compromissione che ancora non conosciamo”. Questo è il punto. Immaginate che, da due anni, qualcuno abbia avuto la possibilità teorica di ascoltare le vostre conversazioni, e moltiplicate lo stesso problema per centinaia di milioni di persone. Impossibile sapere se, cosa, quanto è stato captato. In linea teorica, la falla del protocollo potrebbe essere rimasta ignota, dal 2011, anche ai cybercriminali. Il primo pensiero, naturalmente, corre alle banche. Sono molte quelle che adottano, per le operazioni in rete, il protocollo incriminato. Una chiamata al servizio clienti della nostra banca ci ha rassicurato sul fatto che “non risulta nessun allarme”. Intanto, esiste anche uno strumento online per verificare se un Url è coinvolto nel problema o no. Si inserisce l’indirizzo e si attende il verdetto. La sicurezza delle banche è sempre difficile da sondare, ma Nencini sembra rassicurare, almeno in parte, sul rischio di transazioni indesiderate sul conto corrente. “Molto dipende dai sistemi di controllo delle banche – ci spiega – anche se qui dobbiamo ragionare come se fosse stata rubata la chiave del canale di trasmissione, che doveva essere sicuro, tra cliente e sito, quindi è teoricamente tutto leggibile”, tuttavia “da qui a dire che siano possibili trasferimenti bancari in tempo reale e fare transazioni online ce ne passa”. Le banche adottano solitamente una serie di barriere sulle operazioni sul conto: dalla doppia password a “controlli che avvengono addirittura manualmente, da parte di un operatore, quando si superano certi importi”. Possibile sì, ma non molto in alto nel calcolo delle probabilità. Più che lo scippo dal conto, “il rischio è il furto di dati da siti di e-commerce, su cui si opera con carta di credito, e da tutti quei siti a cui affidiamo informazioni personali: Gmail, Facebook, servizi di cloud, pubblici e aziendali”. Su questi giganti il sito mashable.com ha effettuato un vero e proprio sondaggio, per capire chi era colpito dal problema, chi no e cosa è stato fatto per risolverlo. Secondo i dati raccolti, Facebook, non si sa quanto “infettato”, ha installato la patch, ma suggerisce a tutti di cambiare password, pur nell’attuale assenza di segnali di pericolo. Sulla stessa linea si pone Tumblr, mentre Twitter non ha dato risposte chiare, così come Apple. Google è stato colpito su quasi tutti i fronti, ma ha già alzato le difese e, sebbene non “necessario”, suggerisce un cambio di password. In emergenza anche Yahoo, che sembra abbia già messo al riparo praticamente tutti i suoi servizi. Linkedin risulta sano: non ha installato l’aggiornamento del 2011 su cui si è poi scoperto il baco. Altrettanto sani si dichiarano Amazon, particolarmente strategico per l’uso di carte di credito, almeno per quanto riguarda il pubblico. Qualche problema, infatti, si registra su Amazon Web Services (per gli operatori del sito web). Perfettamente pulita si dichiara invece Microsoft, inclusi i suoi servizi di posta elettronica Hotmail e Outlook, e così pure PayPal, sui cui server transitano fiumi di denaro elettronico. Cattive notizie per chi usa, e sono tanti, il servizio di archiviazione online di Dropbox. Il servizio è stato coinvolto dal problema, anche se ora sarebbe corso al riparo. Il consiglio per tutti gli utenti è la modifica delle password su tutti i siti frequentati che adottino il protocollo OpenSSL, riconoscibile dalla comparsa, nell’Url, dell’acronimo “https”. Per i provider, Nencini, di TrendMicro, suggerisce di non limitarsi alla installazione della patch, ma di cambiare anche i certificati per la cifratura. In ogni caso, nessuno deve aspettarsi, in queste ore, deflagrazioni online di furti di identità e acquisti scriteriati sui siti di commercio elettronico. Se qualcuno ha fatto bottino dei vostri dati starà nell’ombra finché l’allarme è alto. “Il danno, potenzialmente, è molto esteso” conclude Nencini “ma per gli effetti dobbiamo attenderci un’onda lunga”. Le analisi potranno dirci, con notevoli margini di incertezza, se aumenteranno le truffe sulle carte di credito o ci sarà una lunga stagione di furti di identità digitale. C’è da sperare che questo allarme aiuti ad alzare in modo costante l’attenzione sul problema delle vulnerabilità dei software in Rete. l bug Heartbleed continua a mietere vittime. Dopo aver messo al tappeto il protocollo OpenSSL, attraverso il quale vengono criptate le informazioni che passano da due terzi dei server della Rete, ha colpito anche i sistemi hardware. La notizia è stata diffusa dai colossi Cisco Systems e Juniper Networks che producono router, switch, firewall e altri prodotti fisici per la Rete. Il ‘buco’ alla sicurezza potrebbe così consentire a pirati informatici di entrare in possesso di password o di informazioni sensibili entrando nei grandi network delle aziende o anche all’interno dei computer di casa. E risolvere la situazione è meno semplice del previsto: se molti colossi del software hanno già preso provvedimenti e risolto il bug, nel nuovo caso riparare i sistemi potrebbe essere molto complesso e richiedere settimane se non mesi di lavoro. Il problema è stato scoperto la scorsa settimana da un gruppo di ricercatori finlandesi che lavorano per Codenomicon, società che produce sistemi di sicurezza di Saratoga, California. Insieme a loro anche due ingegneri di Google hanno individuato l’errore. I ricercatori hanno chiamato il problema Heartbleed (cuore sanguinante) perché coinvolge il centro vitale del protocollo di criptazione che manda fa transitare i messaggi attraverso i server. Fonti: La Stampa – Quotidiano