Non solo Windows Xp. I pericoli maggiori per gli utenti della Rete in queste ore potrebbero non derivare solo dalla fine del supporto tecnico da parte di Redmond, ma anche da Heartbleed, un nuovo virus spuntato proprio nel giorno in cui Microsoft ha ufficialmente deciso di mandare in pensione dopo 13 anni il suo sistema operativo di maggior successo.
DUE ANNI IN SILENZIO
Impossibile quantificare quanti siti siano stati compromessi, dal momento che Heartbleed – “Cuore sanguinante” in italiano, termine che gioca sull’espressione Heartbeat, cuore pulsante, usata in gergo per indicare il battito che lega gli utenti ai server -, come sottolinea Nicole Perlroth sul New York Times, opera nell’ombra da circa due anni.
COME FUNZIONA
A identificarlo per la prima volta la scorsa settimana sono stati un ricercatore di Google e un team di esperti di sicurezza finlandesi, Codenomicon, che ha anche creato un sito dedicato (www.heartbleed.com).
Il bug Heartbleed si appropria silenziosamente di password, identità, codici fiscali, numeri di conto bancario e carte di credito e permette a chiunque di leggere la memoria di sistemi che usano la versione vulnerabile di OpenSSL e svela le chiavi di sicurezza usate per identificare i fornitori di servizi e crittografare le informazioni che si vuole ottenere.
L’AUTORE
La falla alla sicurezza delle comunicazioni online tra le più gravi della storia di Internet – riporta Wired -, sarebbe il risultato di una banale svista. A sostenerlo pare sia stato Robin Seggelmann, lo stesso sviluppatore tedesco che l’ha introdotto nel software di cifratura, OpenSSL, in uno scambio via mail con la testata.
I SITI VIOLATI
Due terzi dei siti mondiali usano o hanno usato la tecnologia violata. Il software di sicurezza è usato da milioni di server e si distingue dal lucchetto (riconoscibile con la sigla “https” all’inizio della url) usato proprio per proteggere le comunicazioni considerate più delicate.
Non è possibile sapere se e quanti dati sono stati sottratti perché il bug è in grado di operare senza lasciare traccia. Si possono spiare comunicazioni e rubare dati e identità. Per questa ragione, scrive Mashable (che qui spiega come e perché), sarebbe opportuno aggiornare le proprie password. A rischio sembrano essere Yahoo, Comixology, Flickr, Imgur e OculusVR, mentre altri come i siti di Facebook, Google, Wikipedia, Amazon, Twitter, Apple e Microsoft sarebbero invece al riparo.
L’NSA SAPEVA?
La gravità del bug rimane assoluta, tanto che sul suo blog l’esperto di sicurezza Bruce Schneier l’ha definito catastrofico, assegnandogli una simbolica gravità di “11” nella classica scala da 1 a 10. Il problema, evidenziano i tecnici, non sta nella crittografia in sé, ma nel modo in cui viene gestita la connessione cifrata tra un sito web e il computer. E, complice il Datagate scoppiato dopo le denunce dell’ex contractor Edward Snowden, negli Usa c’è chi come Kim Zetter si chiede: e se anche l’Nsa avesse usato Heartbleed per spiarci?
