Contenuto esterno

Il seguente contenuto proviene da partner esterni. Non possiamo dunque garantire che sia accessibile per tutti gli utenti.

Per ragioni di sicurezza, nei prossimi due giorni bisognerebbe astenersi dal collegarsi a siti internet sensibili, come quelli che permettono pagamenti on line. A fare questa raccomandazione, alla Radio SRF, è la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (MELANI) della Confederazione. Il sistema 'OpenSSL', il software più diffuso per il criptaggio dei dati, contiene infatti una grossa falla.

Il bug, chiamato "Heartbleed" (cuore che sanguina), permette ai pirati informatici di accedere alla memoria dei server che utilizzano OpenSSL. Qui possono venire rubati i dati inviati, ma anche le password e le chiavi utilizzate per accedere ai siti.

Stando a un comunicato di MELANI, non sono solo i portali degli istituti finanziari ad essere coinvolti (e-banking), ma anche i servizi di messaggeria elettronica (e-mail), il commercio on line, i siti delle casse malattia, e in generale tutti quelli utilizzano comunicazioni criptate.

Possono essere toccati anche servizi che non transitano attraverso un navigatore web, come le app degli smartphone, le chat (ad esempio Jabber), le nuvole informatiche (i servizi che permettono di salvare dati nella rete), lo streaming, i servizi di messaggeria (SMTP, POP e IMAP) e gli accessi VPN.

Il vicedirettore della MELANI Max Klaus ha raccomandato gli internauti "di astenersi nelle prossime 48 ore, nel limite del possibile, dal trasmettere dati delicati su internet". Per l'utente è infatti molto difficile proteggersi, a meno di rinunciare alle transazioni sensibili fino a quando il fornitore di servizi ha riparato la falla.

È comunque già disponibile una nuova versione di OpenSSL (la 1.0.1g) che non presenta più questo problema di sicurezza. I proprietari dei server internet che utilizzano OpenSSL dovrebbero quindi aggiornare immediatamente il software alla versione più recente. I singoli utenti dovrebbero poi cambiare le loro password, ma solo quando il fornitore di servizi avrà aggiornato il suo server.

Esiste un sito internet - filippo.io/Heartbleed - che permette di verificare se un portale dispone della versione più aggiornata di OpenSSL, ha indicato Peter Fischer, direttore del Centro di competenza sulla sicurezza informatica della Scuola universitaria professionale di Lucerna.

L'errore è presente in una versione di OpenSSL rilasciata nel marzo 2012 (sono toccate le versioni 1.0.1 e 1.0.2beta), ha affermato all'afp l'Ufficio federale tedesco per la sicurezza nelle tecnologie dell'informazione. La vulnerabilità è stata classificata come "critica".

Quello che rende particolarmente pericoloso "Heartbleed", spiegano gli esperti, è che può essere utilizzato dai pirati informatici senza che questi, una volta carpite e rubate le informazioni volute, lascino dietro di sé tracce digitali. Insomma, impossibile individuarli.

Tra i siti più vulnerabili c'era soprattutto Yahoo! e il suo social media Tumblr, e poi Flickr e Oculus. Un informativo, Scott Galloway, ha scritto su Twitter di essere riuscito a recuperare 200 nomi-utente con le relative password in soli 5 minuti. Un portavoce dell'azienda californiana ha però detto che ora il problema sui suoi server è stato risolto. Google, Microsoft, Twitter e Facebook avrebbero invece 'blindato' subito i dati dei loro utilizzatori.

La falla in OpenSSL è stata scoperta da esperti della sicurezza di Google e da un gruppo di ricercatori finlandesi che lavorano per una società di sicurezza di Saratoga, in California.

SDA-ATS