Heartbleed, tradotto dall’inglese in cuore sanginante è un bug venuto allo scoperto il 7 Aprile scorso (esistente dal 31 Dicembre 2011) e che si trova nella libreria crittografica open-source OpenSSL.
Si stima come per il 17 per cento (ovvero circa mezzo milione) dei server web riportati come certificate authority (autorità di certificazione) possa essere ritenuto vulnerabile permettendo appunto il furto delle chiavi private.
I protocolli crittografici TLS (Transport Layer Security) e SSL (Secure Sockets Layer) i quali vengono riportati attraverso il piccolo lucchetto e dalla lettera s posta davanti al protocollo di trasferimento (https) che si occupano della sicurezza di comunicazione e privacy su internet per applicazioni quali web, email, instant messaging (IM) e alcune reti private virtuali (VPN) potrebbero essere soggetti alla vulnerabilità.
Il bug Heartbleed consente dunque a chiunque abbia conoscenza in materia di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL.
Questo comprometterebbe le chiavi segrete utilizzate per identificare i fornitori di servizi (password WEP, WPA e WPA2 utilizzate per le connessioni ad internet) e per crittografare il traffico, i nomi e le password degli utenti e il loro contenuto effettivo.
Ciò consente anche agli aggressori di spiare le comunicazioni, di rubare dati sensibili direttamente dai servizi e dagli utenti e di impersonare l’utente al fine di utilizzare detti servizi, tutto questo a sua insaputa.
Numerosi siti offrono diversi strumenti per la verifica della sicurezza (qui in basso ne riportiamo uno), se si riscontrano server a rischio ne viene sconsigliato l’utilizzo almeno fino a quando non vengano patchati correttamente, in seguito cambiate le password per una maggiore sicurezza.
