Heartbleed, il punto della situazione

Heartbleed, l’exploit che permette di rubare dati dal server, continua a far parlare di se. Facciamo il punto della situazione.

Il bug che ha dato vita all’exploit Heartbleed è stato generato da una svista del programmatore Robin Seggelmann che lui stesso ha ammesso.

Quando si contribuisce a progetti opensource come OpenSSL per ogni modifica effettuata c’è comunque un team che si occupa di validare il nuovo codice prima di riportarlo effettivamente all’interno del sorgente principale da cui viene poi generato il software.

Purtroppo il baco è riuscito a passare anche questa fase di validazione diventando parte integrante di OpenSSL già da un paio di anni.

Attualmente gli informatici stanno setacciando tutti i server Web alla ricerca di possibili server che non abbiano ancora provveduto ad installare l’ultima versione contenente il fix.

Si è parlato anche della possibilità che l’NSA abbia sfruttato questa falla per accedere ai dati dei server anche se si tratta soltanto di una indiscrezione rapidamente smentita dalla stessa intelligence statunitense.

Microsoft e Apple hanno dichiarato che i loro sistemi software non sono mai stati affetti dalla falla mentre altri come Google hanno ammesso che alcuni dei loro servizi erano compromessi ma che hanno provveduto rapidamente a sistemare la cosa appena Heartbleed è venuto alla luce.

Anche gli enti finanziari sono dovuti ricorrere ai ripari con la Canada Revenue Agency che ha dovuto fermare i servizi in attesa del fix di Hearbleed. Negli USA tutti gli istituti finanziari sono stati avvisati del pericolo.

Ci sono anche dispositivi della Cisco e di Juniper affetti dalla medesima falla per i quali sono attese delle patch di sicurezza.

Insomma la situazione non è delle più rosee ma non è comunque il caso di allarmarsi troppo siccome è altamente improbabile che dei malintenzionati siano riusciti effettivamente a rubare le chiavi private dei server. In pratica è consigliato di cambiare ugualmente la password di servizi che in precedenza risultavano vulnerabili senza pero’ pensare ad una tragedia.




Reply