Heartbleed: lo scenario si aggrava, i siti si possono clonare
(Keystone-ATS) Nonostante la corsa dei colossi del web per mettersi al riparo da Heartbleed – la vulnerabilità del codice di crittografia OpenSSL usato per proteggere dati sensibili online come password e numeri di carte di credito – il ‘bug’ che ha esposto circa due terzi del traffico web globale fa ancora paura.
Anzi, lo scenario si aggrava perché c’è il rischio che gli stessi siti che si sono aggiornati sulla sicurezza, possano essere stati ‘clonati’ con tanto di falsificazione del certificato di autenticità, con lo scopo di ingannare gli internauti.
La società di sicurezza CloudFlare – riporta il Washington Post – ha dimostrato che sfruttando la falla del ‘cuore che sanguina’ è possibile rubare i certificati di sicurezza che stabiliscono l’autenticità di un sito, in pratica se “Google è davvero Google” per fare un esempio.
Gli hacker, dunque, potrebbero essere in grado di replicare alla perfezione un sito, spingendo gli utenti all’immissione di dati, senza alcuna segnalazione di pericolo da parte dei browser, cioè i programmi per navigare online che solitamente verificano l’attendibilità di un sito a partire da questi certificati.
A dimostrazione di questa tesi, lo scorso weekend CloudFlare ha lanciato una sorta di gara sfidando gli hacker a rubare, sfruttando Heartbleed, questi dati ‘chiave’, presumendo che fosse troppo difficile, ai limiti del possibile, farlo. E invece ben quattro sono riusciti nell’impresa. Con operazioni lunghe e molto laboriose, ma ce l’hanno fatta.
Con uno scenario del genere, che nei giorni scorsi era definito il peggiore di quelli possibili, cambiare le password non proteggerà gli utenti. Intanto, perché non tutte le piattaforme hanno aggiornato il sistema ‘riparando’ la falla (e le password vanno cambiate solo dopo questa operazione) ma anche perché gli hacker potrebbero, appunto, aver rubato i certificati di sicurezza ‘prima’ della riparazione stessa.
A questo ulteriore danno c’è un rimedio: la revoca degli attuali certificati e l’istituzione di nuovi. Questa per gli esperti è un’operazione colossale – riguarderebbe almeno 500 mila siti – che, se attuata nelle prossime settimane, potrebbe tradursi in un forte rallentamento di tutto il web. Tanto per fare un esempio, aprire una singola pagina web sarebbe paragonabile a scaricare un video di mezz’ora.
Intanto alcune società di sicurezza informatica come McAfee e Symantec hanno messo a disposizione degli strumenti online, gratis, per controllare se un sito risulta ancora vulnerabile ad Heartbleed. ‘Check-up’ che si aggiungono a Last Pass e a quello dell’informatico italiano Filippo Valsorda.
Arrivano pure le prime ammissioni di perdite di dati in seguito ad Heartbleed: l’agenzia delle entrate canadese e un famoso sito britannico per genitori (Mumsnet). Invece nella conta dei prodotti vulnerabili – dopo siti e perfino router, attraverso i quali ‘scorrè il traffico di rete – ci sono ancora alcuni dispositivi mobili Android, quelli basati sulla versione 4.1.1.
E fra le centinaia di ‘app’ a rischio – su varie piattaforme – c’è il servizio chat BlackBerry Messenger per iOS di Apple e Android. La riparazione è attesa solo per venerdì.
