Un consiglio su Heartbleed: state lontani da internet per un po'

Le falle nella sicurezza sono un fenomeno all'ordine del giorno sul web, ma il nuovo bug soprannominato "Heartbleed" è qualcosa di particolarmente brutto e pericoloso. Gli esperti dicono che due terzi dei siti web e, probabilmente, tutti coloro che hanno usato internet negli ultimi due anni potrebbero essere colpiti.

L'ironia è che gli utenti più vulnerabili sono proprio quelli che si sono impegnati di più per proteggere la propria privacy e sicurezza.

Il bug espone il software OpenSSL, ovvero il pilastro portante della crittografia sul web. Heartbleed dà a chiunque la possibilità di intercettare i dati trasmessi sui siti criptati e accedere alle informazioni sensibili che dovrebbero essere sotto protezione. Il tutto senza lasciare alcuna traccia sul server colpito. Ancora peggio, gli aggressori possono anche recuperare le chiavi di crittografia e le password e utilizzarle per decifrare tutto il traffico web passato o futuro.

Il bug è stato introdotto nella versione 1.01 di OpenSSL nel 2012, il che significa che gli attaccanti hanno avuto due anni di tempo per sfruttare la falla e violare reti private e servizi di anonimato online, rivelando email, messaggi istantanei e attività di navigazione degli utenti. E, purtroppo, non c'è alcun modo di sapere chi è stato colpito.

Come dicevamo, i siti e gli utenti più a rischio sono quelli che hanno preso precauzioni per nascondere le proprie tracce sulla rete. La maggior parte dei siti web che utilizzano il protocollo di comunicazione sicura HTTPS si appoggiano a OpenSSL, e anche i servizi appositamente studiati per nascondere l'identità degli utenti sono ugualmente a rischio, compresa la rete Tor.

Il Tor Project ha scritto in un post sul suo blog in cui dice che i suoi utenti, nodi e servizi nascosti sono tutti vulnerabili al bug Heartbleed. Apparentemente, chiunque abbia utilizzato Tor—sia per comprare droga sul mercato nero o proteggersi da governi oppressivi o altri spioni—potrebbe essere stato monitorato o derubato delle proprie chiavi di crittografia.

"Se hai bisogno di anonimato o privacy solidi su internet, dovresti considerare l'idea di stare lontano da internet per i prossimi giorni mentre le cose si sistemano," ha scritto il Tor Project.

La portata del problema va ben oltre gli angoli nascosti del web. Una recente indagine condotta dalla società di sicurezza Netcraft sostiene che il 66 percento dei siti web sono gestiti su server open source Apache e Nginx, che utilizzano OpenSSL come impostazione predefinita. Secondo Ars Technica, così fanno molti altri sistemi operativi e applicazioni, come Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD e le distribuzioni OpenSUSE di Linux.

I ricercatori che hanno scoperto Heartbleed, che lavorano per Google e la società di sicurezza Codenomicon, hanno scritto che i siti ad alta affluenza spesso utilizzano le versioni precedenti, senza bug di OpenSSL. Di conseguenza, "l'ironia vuole che i servizi più piccoli e avanzati, o coloro che hanno aggiornato la crittografia alla versione più recente e migliore, saranno i più colpiti."

Per farla breve, secondo Netcraft circa mezzo milione di siti web sono vulnerabili al bug,  tra cui Yahoo, Flickr e OK Cupid. C'è una lunga lista su Github.

In giro si trovano già un paio di strumenti e tutorial che ti permettono di provare a vedere quali sono i siti web vulnerabili a Heartbleed (il nome tecnico è CVE-2014-0160). Tra i giganti della Silicon Valley, Google, Microsoft, Twitter, Facebook e Dropbox sono al sicuro, ma Yahoo risulta vulnerabile, anche se vale la pena notare che non c'è modo di sapere per certo quanto precisi siano i dati.

"Considerando la lunga esposizione, la facilità di sfruttamento e il fatto che gli attacchi non lasciano tracce questa minaccia dovrebbe essere presa sul serio," hanno scritto i ricercatori.

Una versione sicura di OpenSSL è stata rilasciata l'altro ieri e gli esperti di sicurezza hanno raccomandato a tutti i siti di aggiornare il software alla nuova versione. Per essere super sicuri, suggeriscono anche di modificare le password e le chiavi crittografiche utilizzate nel corso degli ultimi due anni e di aggiornare il certificato di sicurezza. Oppure, se siete davvero preoccupati, potete seguire il consiglio di Tor Project e stare alla larga del web per un po' di tempo. Prendetela come un'occasione per riprendere a leggere il romanzo che avete lasciato a prendere polvere sul comodino.