Torna l’appuntamento con la rubrica de IlGiunco.net “Hello Web, la comunicazione al tempo di internet”: Tutti i colossi della rete sono affetti da questo bug: a rischio privacy e transazioni on line per anni.
a cura di Marco Gasparri*
Quel che da sempre si temava si è avverato. Dopo la scoperta di una falla nel sistema “OpenSSL”, il software di sicurezza usato da milioni di siti internet nelle transazioni commerciali, nelle comunicazioni criptate e nella trasmissione di dati sensibili, il web non è mai stato così insicuro!
In pratica è quel lucchetto (riconoscibile con la sigla ‘https’ all’inizio della url) usato dai siti proprio per proteggere le comunicazioni considerate più delicate è stato fabbricato in modo difettoso. Secondo il New York Times, due terzi dei siti mondiali usano o hanno usato la tecnologia ‘OpenSSL’. Non è possibile sapere se e quanti dati sono stati sottratti.
La minaccia si chiama ‘Heartbleed’ e potrebbe aver consentito agli hacker di accedere a una enorme quantità di dati sensibili negli ultimi due anni. Il ‘bug’ è stato scoperto da un gruppo di ricercatori finlandesi che lavorano per una società di sicurezza di Saratoga, in California, e da due esperti della sicurezza di Google. Tra i siti attualmente più vulnerabili ci sarebbero soprattutto Yahoo! e il suo social media Tumblr, e poi Flickr e Oculus. Ma non si esclude che in passato siano stati affetti dal ‘bug’ tutti i colossi della rete: da Facebook a Google, da Wikipedia ad Amazon, da Twitter ad Apple fino a Microsoft.
La falla nel sistema di sicurezza è particolarmente grave perché consente agli hacker di rubare le informazioni criptate senza lasciare alcuna traccia del loro operato. Quindi è molto difficile riuscire a valutare quanti e quali dati siano stati realmente sottratti.
E’ spuntato fuori che Heartbleed coinvolge anche i router, gli apparecchi dove scorre il traffico web. In particolare Cisco, uno dei massimi produttori mondiali, ha ammesso che oltre una dozzina di suoi prodotti è vulnerabile; 65 sono sotto osservazione. Per il Wall Street Journal anche diversi prodotti di Juniper Networks sono a rischio. Secondo alcuni esperti serve addirittura la sostituzione dell’hardware.
Da lunedì scorso è disponibile un update dell’OpenSSL immune dal problema, ma ogni sito dovrà aggiornare all’ultima versione. La scoperta di questa falla potrebbe rendere urgente un cambio di password per tutti gli utenti di internet coinvolti, ma solo dopo essersi accertati che il sito web abbia aggiornato l’OpenSSL.
Ecco un elenco, compilato da Cnet, della situazione sui principali siti basati sulla tecnologia
OpenSSL, con relativo status rispetto al bug Heartbleed.
Google – Falla risolta. Raccomandato cambio password
Facebook – Falla risolta. Raccomandato cambio password
Instagram – Falla risolta. Raccomandato cambio password
YouTube – Falla risolta. Raccomandato cambio password
Yahoo! – Falla risolta. Raccomandato cambio password
Amazon – Non era vulnerabile
Wikipedia – Falla risolta. Raccomandato cambio password
LinkedIn – Non era vulnerabile
eBay – Non era vulnerabile
PayPal – Non era vulnerabile
Twitter – Non era vulnerabile
Chase – Non era vulnerabile
CNET – Non era vulnerabile
CBSSports – Non era vulnerabile
Blogspot – Falla risolta. Raccomandato cambio password
Bing – Falla risolta. Raccomandato cambio password
Live – Falla risolta. Raccomandato cambio password
Pinterest – In attesa di risposta
Tumblr – Falla risolta. Raccomandato cambio password
Wordpress – In attesa di risposta
Imgur – In attesa di risposta
MSN – Falla risolta. Raccomandato cambio password
Microsoft – Falla risolta. Raccomandato cambio password
Flickr – Falla risolta. Raccomandato cambio password
Blogger – Falla risolta. Raccomandato cambio password
Marco Gasparri è Direttore di Studio Kalimero, agenzia di comunicazione e marketing. Si occupa da sempre di innovazione e di divulgazione di nuovi media e tecnologie.
