Bug Heartbleed, password a rischio. Ecco quando cambiarla e quando no

Una grande vulnerabilità, un baco nel sistema di sicurezza OpenSSL impiegato per criptare le comunicazioni Internet, che ha colpito secondo il New York Times oltre due terzi dei server cui si appoggiano i siti Web di tutto il mondo (compresi quelli dei colossi della Rete) e che abilita i cybercriminali al furto di password e dati sensibili che viaggiano in Rete, dalle mail ai dettagli dei conti bancari o delle carte di credito.

Heartbleed, letteralmente "cuore sanguinante" è il nome del bug in questione, una bomba informatica esplosa nella giornata di martedi che interessa da vicino i principali social network, i servizi cloud di posta elettronica ed archiviazione dati e le piattaforme che gestiscono le transazioni online. A segnalare il problema (il bug è in attività dal dicembre 2011) sono stati dei ricercatori finlandesi che lavorano per una società di sicurezza californiana, la Codenomicon, e da due ingegneri di Google.

Chi ha colpito il bug OpenSSL e cosa occorre fare
Il bollettino diffuso sin dalla serata di lunedi 7 aprile ha ovviamente messo in guardia gli esperti e i responsabili della sicurezza informatica di tutto il mondo. E questo perché è venuta meno la protezione delle informazioni sensibili degli internauti garantita per l'appunto dal protocollo OpenSSL, sistema che gira su due dei Web server più usati al mondo (Apache e nginx). Il security alert diffuso ieri da Websense ha certificato la portata del problema anche dal punto di vista di una società che vende soluzioni di sicurezza.
Gli effetti provocati da Heartbleed sono duplici. In primo luogo costringono le aziende potenzialmente colpite a cambiare le chiavi di cifratura attraverso cui vengono criptati i messaggi e i dati scambiati tra i loro siti e i loro utenti. In secondo luogo, a livello di singoli utenti, è consigliabile a titolo precauzionale il repentino cambio delle password degli account finora utilizzati per accedere ai vari Facebook, DropBox, Gmail e vari altri servizi o applicazioni.

Al momento non è dato sapere se, sfruttando la falla, quanti dati siano stati o meno sottratti dagli hacker senza lasciar traccia. L'unica notizia certa è che la "patch" per chiudere la falla (OpenSSL 1.0.1g, le versioni vulnerabili di OpenSSL vanno invece dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8) è stata subito resa disponibile. Ma chi ha installato l'aggiornamento? E quando? La lista dei siti potenzialmente affetti dal problema (Github.com, ha reso noto un elenco assai dettagliato in proposito) è lunga e ricca di nomi assai conosciuti: Yahoo! sembra essere stata particolarmente esposta al problema mentre Facebook, Google, Wikipedia, Amazon, Twitter, Microsoft e Apple dovrebbero aver evitato guai.

Come hanno gestito il problema le grandi firme del Web
Alla questione Heartbleed, il sito tecnologico Mashable ha dedicato ieri un articolo contenente un documentato riepilogo di quali aziende hanno affrontato il problema, e come hanno reagito all'allarme. Facebook, per esempio, ha confermato di aver aggiunto le protezioni del caso alla propria infrastruttura basata su protocollo OpenSSL e di aver quindi rimosso per tempo qualsiasi attività ritenuta sospetta. Per contro consiglia vivamente agli utenti di resettare le proprie password. Lo stesso fa Google, pur non ritenendo indispensabile l'operazione e assicurando di aver utilizzato la patch per proteggere tutti i suoi servizi chiave.

LinkedIn, Amazon e Microsoft, invece, sembrano essere del tutto estranee al problema perché non usano questo protocollo mentre da Twitter ed Apple non sono sortite informazioni ufficiali in proposito. Ha preso invece pubblica posizione PayPal, che in una nota conferma di non essere stata affetta da Heartbleed e rassicura i propri utenti, invitandoli a conservare tranquillamente le password esistenti. Problemi, invece, pare li abbiamo avuti molti servizi Bitcoin, fra cui LocalBitcoins, Blockchain.info e Bitfinex, che hanno già chiuso la falla, e Bitstamp, che ha riaperto le operazioni dopo averle sospese. La stessa Yahoo ha fatto sapere che la vulnerabilità è stata messa a posto e che di conseguenza i suoi servizi (fra cui anche Search, Mail, Finance, Flickr e Tumblr) sono tornati sicuri. Cambiare le proprie credenziali, nel caso si fosse utenti di questi , è comunque assai raccomandabile.

©RIPRODUZIONE RISERVATA