Heartbleed fa paura e ora le big investono in sicurezza

Heartbleed fa paura e ora le big investono in sicurezza

La reale entità dei danni causati da Heartbleed – la falla informatica presente da due anni nel protocollo di sicurezza OpenSSL, quello della crittografia delle informazioni online – probabilmente non la conosceremo mai fino in fondo. Un nervo scoperto così a lungo nell’universo della rete può significare avere libero accesso a miliardi di informazioni generate dagli utenti stessi. Informazioni che vanno dalla semplice password di una mail fino ai codici di sicurezza di conti correnti bancari.

Ecco perché dal momento in cui ha cominciato a diffondersi la notizia della presenza di questo bug, anche le grandi big del tech hanno pensato bene di correre ai ripari, suggerendo per prima cosa ai propri utenti di cambiare le password degli account. Ma per chi conosce un minimo il mondo dell’informatica, e quello dei cracker in particolare, sa bene quanto una mossa di questo tipo potrebbe non essere sufficiente a mettere al riparo l’utente da spiacevoli sorprese future. Come aveva dichiarato in un’intervista, rilasciata qualche giorno fa a Linkiesta, il generale della Guardia di Finanza Umberto Rapetto, esperto di sicurezza informatica, se un utente è stato sottoposto a monitoraggio da parte di un cracker per qualche tempo, è probabile che egli ne abbia studiato i comportamenti e potenzialmente sarebbe in grado di replicarli, a cominciare dalla generazione di una password.

La sicurezza quindi, anche nel caso di modifica della password, potrebbe non bastare a combattere violazioni e sottrazioni di dati sensibili. Una condizione questa che conoscono bene anche dalle parti della Silicon Valley. Ecco perché Facebook, Google, Amazon, Microsoft e altri altri grandi brand digitali stanno già correndo ai ripari, con il principale obiettivo di scongiurare una nuova Heartbleed. Come? Prendendo parte ad un progetto nonprofit denominato Core Infrastructure Initiative realizzato dalla Linux Foundation, con lo scopo di investire risorse economiche nelle infrastrutture di gestione di software per la sicurezza informatica. In sostanza Google e le altre si impegnano a donare 100mila dollari l’anno, per i prossimi tre anni, per un totale di 3.6 milioni di dollari, per la messa a punto del sistema open source OpenSSL. Una cifra che se da un lato può sembrare irrisoria per questi giganti tecnologici, dall’altro rappresenta una buona dose di ossigeno finanziario per quegli sviluppatori di programmi open source, che molto spesso lavorano per una scarsa retribuzione.

I software open source,che invadono l’universo informatico contemporaneo, sono considerati più sicuri rispetto a quelli proprietari per il semplice fatto che essendoci più persone che controllano, analizzano e modificano il codice, sono anche maggiori le possibilità di migliorarlo e rintracciare eventuali problemi. Tutto ciò però sembra essere stato disatteso nel caso di Heartbleed, visto e considerato che si trattava di un’anomalia presenta nei sistemi da oltre due anni. Il motivo è piuttosto noto, e riguarda principalmente gli sviluppatori di tali software e il loro modo di lavorare: tanto e per una scarsa retribuzione. A tal proposito Jim Zemlin, direttore esecutivo della Linux Foundation, ci tiene a sottolineare come «sia necessario fornire risorse adeguate agli sviluppatori in modo tale da permettere loro di lavorare a tempo pieno e in maniera adeguata su un progetto, senza dover pensare a come dover sopravvivere».

L’iniziativa sarà rivolta a differenti progetti open source e, dopo un’analisi valutativa, verrà determinato quali progetti potrebbero essere sostenuti finanziariamente. Un sostegno che includerebbe ad esempio la condizione di pagare gli sviluppatori per lavorare su nuovi progetti, finanziare i controlli di sicurezza o ancora migliorare le infrastrutture di calcolo. Tra i primi progetti ad essere presi in considerazione, com’era ampiamente ipotizzabile, ai fini del finanziamento sarà proprio il software OpenSSL. Le proposte relative al progetto dovrebbero essere portate davanti ad un comitato direttivo che poi voterà su come destinare i soldi. Una scelta che potrebbe segnare un punto di svolta nel mondo dell’informatica dato che come ha dichiarato lo stesso Zemlin al Wall Street Journal «al momento della scoperta di Heartbleed, il software OpenSSL è stato gestito solamente da quattro programmatori di cui uno soltanto a tempo pieno».

Dopo gli avvenimenti delle ultime settimane quindi, in cui abbiamo assistito ad una vera e propria guerra delle acquisizioni tra le corazzate della Silicon Valley – con mosse e contromosse a colpi di cifre da capogiro – possiamo dire di essere di fronte al primo vero fronte comune tra le big del tech. E se consideriamo che l’argomento in questione è la sicurezza informatica, che mette sotto la lente d’ingrandimento la tutela degli utenti e al tempo stesso quella dei programmatori, c’è solo da augurarsi che il sodalizio si prolunghi a lungo magari accompagnati da una costante crescita di investimenti in questo settore.

Entra nel club de Linkiesta

Il nostro giornale è gratuito e accessibile a tutti, ma per mantenere l’indipendenza abbiamo anche bisogno dell’aiuto dei lettori. Siamo sicuri che arriverà perché chi ci legge sa che un giornale d’opinione è un ingrediente necessario per una società adulta.

Se credi che Linkiesta e le altre testate che abbiamo lanciato, EuropeaGastronomika e la newsletter Corona Economy, così come i giornali di carta e la nuova rivista letteraria K, siano uno strumento utile, questo è il momento di darci una mano. 

Entra nel Club degli amici de Linkiesta e grazie comunque.

Sostieni Linkiesta