Web & Social » Novità dal Web

Internet colpito “al cuore” da Heartbleed: il bug minaccia il 70% dei siti web

Immaginate di ritrovarvi improvvisamente con una porta di casa dalla serratura difettosa, tormentati dal sospetto che qualcuno abbia provato a svaligiarvi, o che ora sappia come farlo. E’ più o meno questa la situazione di almeno sette siti web su dieci, a causa di quella che gli esperti hanno definito epic fail: la più grande scoperta nel sistema di protezione dei dati e informazioni sensibili. Password, codici di ogni genere, comunicazioni private: questo e altro potrebbe essere nelle mani di chi ha messo a punto Heartbleed (“cuore che sanguina”), il super-bug che avrebbe agito indisturbato per più di due anni nella rete, almeno dal dicembre 2011.

Scoperto solo qualche giorno fa da un gruppo di ricercatori finlandesi che lavorano per una società di sicurezza di Saratoga, in California, in uno con due esperti della sicurezza di Google, Heartbleed ha tecnicamente compromesso il funzionamento del software OpenSSL, il più diffuso al mondo per il criptaggio, e nessuno può avere la certezza di esserne rimasto immune. Da Yahoo! a Google, da Facebook a Twitter, da Apple a Microsoft, da Amazon a Wikipedia: tutti utilizzano quel lucchetto (riconoscibile dalla sigla https), messo lì a protezione di milioni e milioni di utenti e clienti.

Ciò che rende particolarmente pericoloso Heartbleed è la possibilità di essere utilizzato dagli hacker senza lasciare alcuna traccia digitale. A questo proposito, c’è chi collega lo sviluppo di HeartBleed e il suo metodo a chi nella National Secuirty Agency americana ha creato le premesse dello scandalo Datagate.

Intanto, si cerca di correre ai ripari. Blog autorevoli come Mashable hanno diramato liste di portali in cui sia i proprietari sia gli iscritti dovrebbero cambiare la password. Anche i big hanno già comunicato l’aggiornamento del software eliminando ogni vulnerabilità, e proprio da lunedì sono disponibili le versioni aggiornate di OpenSSL, immuni dal problema. Tuttavia, pur essendo possibile testare la presenza di vulnerabilità, il meccanismo usato non è affidabile al 100%. Dunque gli aggiornamenti da soli non basteranno: sarà necessario richiamare tutte le chiavi di cifratura in circolazione, probabilmente intercettate e forse sfruttate. L’invito è a non fare allarmismi, ma la privacy di milioni e milioni di internauti è messa ancora una volta a dura prova.

Nessun commento
Questo articolo è stato pubblicato lunedì 14/04/14 alle ore 12:00 e classificato in Web & Social » Novità dal Web . E' possibile seguire tutte le repliche a questo articolo tramite il feed RSS 2.0. Puoi lasciare un commento, oppure fare il trackback dal tuo sito.

Lascia un tuo commento

News scelte per te
x

Ultimi commenti

Vodafone promo

mercoledì 20 settembre 2017 00:20

  • Archivi