Heartbleed può aver generato un danno incalcolabile

Heartbleed può aver generato un danno incalcolabile

E adesso tutti di corsa a cambiare password, modificare codici e prestare più attenzione che mai alla sicurezza online. La scoperta del bug denominato Heartbleed (cuore sanguinante) ha scatenato una vera e propria psicosi da prevenzione, dato che questa volta si tratta di un’enorme falla presente da lungo tempo nel sistema di crittografia delle informazioni sensibili.Un sistema utilizzato dalla maggior parte dei siti tutti di tutto il mondo. A questo punto però viene da porsi una domanda più che lecita: e se fosse troppo tardi? Se le informazioni di milioni di utenti sono state per anni alla mercé di chiunque abbia dimestichezza con linguaggi di programmazione e gestione dei dati, e potenzialmente ne può fare l’utilizzo che gli pare, come si può pensare che cambiare una password, anche di frequente, possa metterci al riparo da grane future?

Forse una risposta rassicurante non esiste, troppi sono gli interrogativi irrisolti in tutta questa vicenda. E magari vale la pena fare un quadro della situazione e perché no provare a dare, con l’aiuto di esperti, qualche suggerimento per la tutela della propria privacy, cercando per quanto possibile di mettere al sicuro le informazioni sensibili.

Qualche giorno fa Neel Mehta, ingegnere di Google, e alcuni ricercatori di Codenomicon hanno individuato un bug all’interno del protocollo OpenSSL – il sistema di crittografia utilizzato dalla maggior parte dei siti mondiali per garantire la sicurezza delle transazioni e dello scambio delle informazioni sul web – riconoscibile con la dicitura “https” che compare nella barra degli indirizzi, quando generalmente si opera in siti che effettuano trasferimenti di informazioni sensibili. I siti di online banking sono l’esempio più calzante. Questa nomenclatura, almeno fino a qualche giorno fa, doveva essere sinonimo di sicurezza per tutti gli utenti che si apprestavano ad effettuare operazioni di questo tipo. A quanto pare non è sempre stato così.

Per cercare di capire a fondo di cosa si tratta e quali sono i rischi che si possono correre Linkiesta si è messa in contatto con il Generale della GdF Umberto Rapetto (già Comandante del Nucleo speciale frodi telematiche) esperto di sicurezza informatica. «Si tratta di un fatto gravissimo» avverte Rapetto «per il semplice fatto che la versione bacata in questione risale al 2011, quindi abbiamo a che fare con una falla presente da più di due anni. Un periodo di tempo che, per quanto riguarda il mondo di Internet, può essere paragonato ad un’era geologica. In questi due anni infatti miliardi di informazioni sono state immesse nella rete e qualsiasi cosa può essere successo. Se poi pensiamo che circola già lo script utilizzabile per operare e decrittare i siti vulnerabili – e che si tratta tra l’altro di un codice piuttosto breve e non particolarmente complesso – allora si capisce quanto la paura più grande sia quella che chiunque possa accedere ad un server qualsiasi e rubare informazioni di qualunque tipo».

E non è tutto perché anche in ottica futura cambiare password potrebbe non bastare: «Se il monitoraggio di un sito, da parte di chi ha interesse a sottrarre informazioni, è duraturo anche le password possono essere previste. Vale a dire che spesso l’utente, avendo a che fare conte decine di siti che richiedono l’immissione di una password, tende a reiterare determinati comportamenti che possono essere prevedibili. Ad esempio, monitorando il sito di home banking di un soggetto a caso, ci si accorge di come generalmente egli al momento di cambiare password effettui delle modifiche che riguardano sempre la parte numerica. Ecco in questo modo, risalendo magari ai dati anagrafici del soggetto in questione, risulterà semplice rintracciare la combinazione corretta».

Ovviamente come spesso capita in questi casi a rimetterci è il singolo utente che non avendo gli strumenti sufficienti a prevenire comportamenti di questo tipo, si ritrova suo malgrado a sperare nella mancata intercettazione delle informazioni personali. Al di là di tutto, e in particolar modo della reale efficacia di questi strumenti, qualche precauzione è sempre meglio prenderla. «In tali circostanze calcolare il danno per i grandi operatori è abbastanza semplice, date le risorse finanziarie e umane a loro disposizione da utilizzare in questo campo. Dal lato utente – suggerisce Rapetto – stimare l’entità del danno non è per niente facile, visto e considerato che non è da escludere che informazioni rilevate in questi anni, e messe temporaneamente da parte, vengano utilizzate in futuro. Quello che posso consigliare è che oltre all’ormai consueta abitudine di cambiare la password, è preferibile ogni quindi giorni, è sicuramente utile utilizzare un software di protezione e antivirus che rilevi l’intromissione di trojan nel nostro sistema, e che contenga al suo interno lo strumento “keylogger”. Si tratta di un tool in grado intercettare, controllare e salvare tutte le sequenze di dati che vengono digitate da un utente».

quanto pare quindi cambiare password può essere utile ma non è di certo la soluzione definitiva. Questa forse dovrebbe arrivare da chi realizza software specifici: troppo spesso infatti la rincorsa al mercato, l’ossessiva tendenza di lanciare un sistema operativo dopo l’altro da parte delle grandi società informatiche, può portare a generare sistemi fallaci per i quali è necessari effettuare rattoppi successivi tanto numerosi quanto inefficaci. Nel caso della realizzazione del protocollo OpenSSL sembrasi tratterebbe solo di una svista, secondo quanto riportato in un’intervista a Wired Italia, dallo sviluppatore che ha introdotto Heartbleed nel sistema. Una svista che però, aggiungiamo noi, potrebbe aver arrecato danni incalcolabili in grado di essere scoperti, forse, solo tra qualche anno. Nel frattempo nel caso in cui voleste aumentare la vostra sicurezza ecco il link del sito per testare l’affidabilità di una pagina web.

X