
Heartbleed è un bug di OpenSsl, ovvero un'implementazione open source di SSL e TSL, i due protocolli che garantiscono la sicurezza delle comunicazioni e transazioni che avvengono su internet. La falla, infatti, permette di ottenere da un server non soltanto le informazioni richieste da noi, ma anche tutte le altre richieste che stanno avvenendo in quel momento. Wired ha esplicato tutto in una vignetta che riporto qui scritta:
-Meg chiede al server: Potato (6 lettere)
-Server risponde: Potato
-Meg chiede al server: Bird (4 lettere)
-Server risponde: Bird
-Meg chiede al server: Hat (500 lettere)
-Server risponde: Hat. Lucas ha richiesto la pagina "connessioni mancate". Eve (amministratore) vuole modificare la chiave del server in "14835038534". Isabel ha fatto una ricerca per "serpenti ma non troppo lunghi". L'utente Karen vuole modificare la password dell'account in "CoHoBaSt". L'utente Amber ha richiesto le pagine..."
Il bug esiste e colpisce la maggior parte dei siti internet (circa 2/3): potete riconoscerli poiché nella barra indirizzo l'url sarà preceduto da "https" e un lucchetto verde, utilizzato per proteggere le comunicazioni più importanti. L'NSA, ovvero la National Security Agency, conosceva il bug già dal 2012, e secondo alcuni l'avrebbe sfruttato per tenere sotto controllo le comunicazioni tra i gruppi terroristici. Paradossalmente il bug, considerato addirittura catastrofico dall'esperto di sicurezza Bruce Schneider, e con una gravità di 11 su un indicatore da 0 a 10, sarebbe il frutto di un banalissimo errore, causato, secondo quanto sostiene Robin Seggelmann, lo stesso sviluppatore tedesco che l’ha introdotto nel software di cifratura, OpenSSL, in uno scambio via mail con la testata.Tra i siti a rischio troviamo Yahoo, Comixology, Flickr, Imgur e OculusVR, mentre altri come Facebook, Google, Wikipedia, Amazon, Twitter, Apple e Microsoft sarebbero invece al riparo. LA SOLUZIONE MIGLIORE È COMUNQUE CAMBIARE LE PROPRIE PASSWORD RELATIVE AI SITI COLPITI, PER EVITARE PERDITE DI DATI SENSIBILI.
Commenti
Posta un commento