Heartbleed su OpenSSL: come difendersi dai rischi
Sienna62, Flickr
Tecnologia

Heartbleed su OpenSSL: come difendersi dai rischi

Cosa vuol dire che c’è una falla nel protocollo di sicurezza di internet? Quali sono i servizi a rischio? E soprattutto: cosa c'entra la NSA?

Nella giornata di ieri, tra i primi in Italia , avevamo ripreso la notizia della pubblicazione di un bug, conosciuto come Heartbleed , che mette in evidente imbarazzo la gestione della sicurezza di molti siti web. I più interessati sono quelli che utilizzano la libreria OpenSSL, una sorta di porta blindata che serve a tenere ben protetto il via vai di informazioni che entrano ed escono dai siti, concedendo  le chiavi di accesso solo a soggetti “fidati”. La situazione creata da Heartbleed è quella in cui il padrone di casa lascia il mazzo di chiavi sotto lo zerbino per il figlio che deve rientrare da scuola ma, appostato dietro ad un cespuglio, c’è un ladro che vista la scena, ruba le chiavi ed entra nell’appartamento, facendo razzia di quello che trova, indisturbato e senza dare nell’occhio.

Quando viene usata la crittografia

Non sempre ci rendiamo conto di come stiamo utilizzando Internet. Quando ci troviamo su un sito che riporta la dicitura HTTPS con al fianco l’immaginetta del lucchetto, allora stiamo navigando in maniera sicura, o almeno così dovrebbe essere. La sicurezza di cui parliamo è data proprio dal protocollo OpenSSL che aiuta a nascondere il traffico mentre si naviga sul web. È abbastanza evidente che se il protocollo riporta una falla (che consegna le “chiavi” a terzi), allora non si ha l’estrema sicurezza che, una volta nascosto il tesoro in casa, non ci sia nessuno che possa aprire il lucchetto ed entrare. Se si considera che il lucchetto in questione viene utilizzato per proteggere siti web, piattaforme di chat, client email, allora ci si rende conto della reale vastità del problema.

Chi potrebbe sfruttare il bug

Come nell’esempio reale, anche per Heartbleed l’inganno è alla fonte: le chiavi sotto lo zerbino equivalgono alla falla nel protocollo OpenSSL, utilizzato per “rendere illeggibili” (crittografare) i contenuti su internet. Come una normale casa, i siti conservano dati e informazioni personali degli utenti a cui chiedono la registrazione. Questa serie di informazioni rappresentano l’oro a cui puntano i criminali informatici, sia per colpire gli utenti che per vendere i loro dati alle organizzazioni sparse per il mondo. Anche in questo caso è calzante l’esempio con il furto domestico: la serie di oggetti prelevata dal ladro può costituire fonte di guadagno diretta per la loro vendita al dettaglio (pensiamo a smartphone, tablet, televisori, gioielli, ecc…) oppure per la loro collocazione sul mercato della ricettazione.

Cosa comporta Heartbleed

Per quanto riguarda OpenSSL, una volta ottenute le chiavi necessarie a impadronirsi dei file e a tradurli in linguaggi leggibili (non tanto all’occhio umano quanto a quello dei software) il gioco è fatto: l’utente di un certo sito web non si accorgerà nemmeno del furto dei propri dati dai server delle aziende a cui si è affidato visto che per lui internet funzionerà sempre come prima. Il protocollo OpenSSL è così largamente utilizzato da essere presente su quasi il 66% (secondo Netcraft ) dei siti web attualmente in uso, grazie alla sua implementazione sui server Apache e nginx che gestiscono il “sapere” del web.

I reali rischi per l’utente

C’è da dire che già nella giornata di ieri, il team di sicurezza di OpenSSL ha rilasciato una patch correttiva, spiegando come il problema si presenti solo nelle versioni del protocollo dalla 1.0.1 alla 1.0.1f. Inoltre chiunque può verificare se il proprio sito, o quello della sua azienda, è vulnerabile alla minaccia, inviando in tempo reale una richiesta di verifica di presenza del bug (più che altro della presenza ed eventuale versione di OpenSSL installata).

Come difendersi

Più che i big della rete, che hanno già affermato di aver avviato il processo di aggiornamento dei propri server per evitare di incorrere nel bug, i rischi maggiori sono per quelle piccole e medie imprese che non hanno ancora provveduto a tappare la falla, e che magari non ne sono nemmeno a conoscenza. Quello che dovrebbero fare è aggiornare SSL all’ultima versione rilasciata, quella del 7 aprile che non è vulnerabile al bug, "rigenerare" le chiavi di crittografia (per eliminare quelle che potrebbero essere state rubate) ed emettere nuovi certificati di cifratura, dopo aver revocato quelli in uso. In ogni caso, tutti gli utenti che utilizzano internet per accedere a piattaforme delicate (come i siti di home banking oltre che di posta elettronica) dovrebbero perdere qualche minuto a scegliere una nuova password perché il proverbio “fidarsi è bene, non fidarsi è meglio” sarà pure sorpassato ma, a quanto pare, ancora valido.

Cosa c’entra l’NSA?

La storia si fa più fitta, e assai più complicata, se si considera che la falla sanguinante dovrebbe essere in giro almeno da un paio di anni (dicembre 2011). Sono davvero tante, troppe, le casualità che legano la protezione del web tramite la crittografia di OpenSSL e i tentativi, documentati dai file di Edward Snowden, di violarla. Il blogger ed esperto di crittografia Matthew Green , a dicembre dello scorso anno aveva scritto un lungo post dove spiegava i possibili metodi che l’NSA avrebbe potuto utilizzare per scavalcare il recinto del web sicuro. All’interno del documento Green spiega come l’unico metodo in cui la NSA avrebbe potuto intrufolarsi nelle comunicazioni degli utenti di servizi conosciuti, come Gmail, Yahoo Mail e così via, sarebbe stato quello di agire in silenzio, senza dare nell’occhio, proprio attraverso il furto delle chiavi di accesso prodotte da OpenSSL che avrebbero permesso non solo di ottenere i dati ma anche di tradurli.

Dopo aver unito i puntini di un’altra delle storie che hanno caratterizzato il Datagate, alla fine del suo post Green concludeva con una frase che sa di filosofia ma di estremo realismo: “La domanda adesso è se possiamo essere così positivi da pensare di poter trasformare le fragilità da pericoli a promesse”. Di avere un web più sicuro, più discreto e meno controllato.

 

I più letti

avatar-icon

Antonino Caffo

Nato un anno prima dell’urlo di Tardelli al Mondiale, dopo una vita passata tra Benevento e Roma torno a Milano nel cui hinterland avevo emesso il primo vagito. Scrivo sul web e per il web da una quindicina di anni, prima per passione poi per lavoro. Giornalista, mi sono formato su temi legati al mondo della tecnologia, social network e hacking. Mi trovate sempre online, se non rispondo starò dormendo, se rispondo e sto dormendo non sono io. "A volte credo che la mia vita sia un continuo susseguirsi di Enigmi" (Guybrush Threepwood, temibile pirata).

Read More