Si tratta di un bug di recente scoperta che mette a rischio le vostre password e i vostri dati riservati. In questo articolo cerchiamo di spiegare che cosa è successo e che cosa devono fare le imprese per mettere al sicuro i loro dati.
Le nostre informazioni personali.
Le password dei nostri account di posta.
I numeri delle nostre carte di credito.
Cosa accadrebbe se queste informazioni non fossero protette? Cosa accadrebbe se fossero accessibili a tutti?
Sembra lo scenario di un film di fantascienza poco originale, ma non è così. Stiamo parlando di Heartbleed (letteralmente, “cuore sanguinante”) il bug scoperto all’inizio di aprile 2014. È sicuro che Heartbleed abbia messo a rischio numerosi server certificati come invulnerabili, permettendo così il furto di password e cookie degli utenti di tali server.
Heartbleed è un errore di programmazione risalente al 2011 che riguarda la sicurezza del web, e nello specifico la tecnologia di crittografia dei server. In sostanza, è una falla nella difesa di informazioni quali numeri di conto on-line, posta elettronica, account personali e aziendali.
Ad accorgersi di tale falla sono stati alcuni ricercatori della Codenomicon, una società di sicurezza finlandese, in collaborazione con un ricercatore di Google. Senza entrare troppo in dettagli tecnici (per i quali rimandiamo qui), Heartbleed apre una via di accesso in SSL/TLS, ossia quel sistema di crittografia indicato nei nostri browser dal tag “https:” e dal simbolo del lucchetto, ad indicare che la navigazione è sicura, cosa che invece non è: Heartbleed permette infatti di spiare il traffico internet dell’utente, sebbene il lucchetto appaia chiuso. Tutti i server che fanno uso di questo sistema di crittografia (detto OpenSSL) sono pertanto a rischio.
Un’altra caratteristica che rende diverso Heartbleed dai bug che vengono scoperti ogni giorno, oltre al polverone mediatico sollevato dagli scopritori, è il fatto che in alcuni ambienti se ne sapeva già da un paio d’anni. Sembra infatti che gli esperti dell’NSA, l’agenzia di intelligence statunitense, fossero a conoscenza di Heartbleed già dal 2012 e se ne servissero per intercettare scambi di comunicazioni tra criminali e terroristi. Non c’è quindi modo di sapere di quante altre violazioni Heartbleed sia stato responsabile in questi ultimi anni.
Cosa possono fare le aziende per proteggersi da Heartbleed?
Il giorno stesso della diffusione della notizia è stata rilasciata anche una nuova versione di OpenSSL, aggiornata e corretta. Come prima cosa dobbiamo quindi assicurarci che i server a cui ci affidiamo per il nostro sito abbia fatto l’aggiornamento.
Una volta che i server interessati dal bug sono stati aggiornati, l’utente può procedere a cambiare tutte le password e chiavi di accesso dei siti utilizzati, continuando così ad usare il web in piena sicurezza.
Per ulteriori informazioni in ambito di sicurezza e protezione dei dati, è possibile chiedere la consulenza degli esperti di Motivo Network.
