Bug Heartbleed una delle vulnerabilità più pericolose della storia

Categoria: Sicurezza
Voto: 1 stella2 stelle3 stelle4 stelle5 stelle
Loading...Loading...

Le fonti internazionali parlano di una delle vulnerabilità più pericolose della storia dell’informatica, e con ottime ragioni: a rischio sono tutti i dati passati attraverso protocollo HTTPS, se la versione implementata di OpenSSL era nella versione 1.0.1 fino alla versione f. Heartbleed passerà sicuramente alla storia come uno dei bug più pericolosi del web, che ha potenzialmente messo a rischio moltissimi dati degli internauti a livello mondiale.

heartbleed

Neel Mehta di Google Security e un team si ingegneri finlandesi di Codenomicon specializzati in sicurezza hanno scoperto in contemporanea un bug nell’implementazione dei protocolli TLS/DTLS di OpenSSL, ovvero quelli che stanno alla base delle pagine protette che riconosciamo dall’indirizzo https:// ma non solo. Detto in altre parole, che semplificheremo ulteriormente, OpenSSL è di fatto un’implementazione open source dei protocolli SSL e TLS, chiamati ad eseguire le funzioni crittografiche principali per mettere al sicuro le comunicazioni online. Esempi concreti se ne contano a bizzeffe, poiché tutto questo è ciò che sta alla base di molti browser, e-mail, messaggistica istantanea, voice over IP e via dicendo.

Moltissimi provider, aziende e servizi che ruotano intorno all’universo web adottano OpenSSL, ovvero tutti quelli che si appoggiano ad Apache e nginx. Per intuire la gravità del potenziale problema basti pensare che, secondo Netcraft, l’adozione è a quota 66% a livello mondiale, quindi fondamentalmente due siti su tre possono potenzialmente essere dei colabrodi da cui possono fuoriuscire dati che dovrebbero essere assolutamente sotto chiave.

Esempi: aprendo Facebook, la pagina dell’home banking, Gmail, Flick, Yahoo, Amazon (solo alcuni delle migliaia di esempi possibili) si può notare che ci si collega a indirizzi che iniziano con https://, fatto che ci garantisce (in teoria) sull’assoluta sicurezza della comunicazione dati fra la nostra postazione e il server remoto, perché è di fatto questo che il protocollo https promette. Facile immaginare cosa passi attraverso questo canale: numeri di carte di credito, password, comunicazioni in chat, mail più o meno riservate, il tutto in volumi inimmaginabili se si pensa alla diffusione di OpenSSL.

Fonte



Articoli correlati

comments powered by Disqus