domenica 13 aprile 2014

Emergenza Heartbleed bug, esperto: falla dovuta a un errore umano


C'è un errore umano dietro Heartbleed, cioè cuore sanguinante, come è stata chiamata la falla scoperta all'interno di OpenSSL, sistema per criptare le comunicazioni utilizzato da circa la metà dei siti Internet mondiali per proteggere password e dati sensibili. Il problema permette agli hacker di recuperare i dati nella memoria dei server protetti, violando connessioni sicure, e riguarda dunque milioni di computer nel mondo: a rischio messaggistica istantanea, posta elettronica e social.

"Non è un virus - spiega l'esperto di sicurezza online Tim Maurer - ma semplicemente un errore fatto dalla persona che ha scritto il codice. Si sa chi l'ha commesso e si sa che è successo circa due anni fa. Questo genere di cose accadranno sempre perchè i software contengono migliaia o addirittura milioni di linee di codice e sono scritti da esseri umani". "La cybersecurity è un problema molto grande e Heartbleed è un buon esempio di come una falla possa colpire qualsiasi utente di Internet perché colpisce siti utilizzati da email, siti di banche. È talmente estesa che riguarda tutti" continua.

"Le grandi compagnie hanno già riparato i loro siti, sono al corrente della falla e hanno equipe specializzate che si occupano di questo, sono intervenute rapidamente: il problema è per le aziende piccole e medie che non hanno le risorse per intervenire con prontezza. In questo caso le persone devono fare attenzione e assicurarsi che i siti che utilizzano siano aggiornati e le password cambiate".  

In questi giorni la maggior parte delle piattaforme coinvolte - anche colossi come Google e Yahoo! - hanno "aggiustato" la falla e reso necessario il cambio di password per gli utenti. Ma ciò potrebbe non bastare. E' spuntato fuori che Heartbleed coinvolge anche i router, gli apparecchi dove scorre il traffico web. In particolare Cisco, uno dei massimi produttori mondiali, ha ammesso che oltre una dozzina di suoi prodotti è vulnerabile; 65 sono sotto osservazione

Per il Wall Street Journal anche diversi prodotti di Juniper Networks sono a rischio. Intanto, il programmatore Saggelman spiega di aver scritto una parte del codice OpenSSL e di aver poi programmato un'aggiunta che ha provocato il bug. Il tutto approvato dagli altri programmatori, visto che OpenSSL è un progetto "Open Source", cioè aperto alla contribuzione. Inoltre l'"errore" che ha portato ad Heartbleed è avvenuto a Capodanno 2011: sono cioè più di due anni che i due terzi del traffico Web globale è esposto ad intrusioni.

Nessun commento:

Posta un commento