Una delle vulnerabilit\u00e0 pi\u00f9 gravi nella storia di internet \u00e8 stata scoperta in OpenSSL, la libreria open source che implementa la crittografia HTTPS utilizzata da circa il sessantasei percento dei server web mondiali inclusi quelli di Google, Facebook, Yahoo e innumerevoli banche, e-commerce e servizi che gli utenti presumevano sicuri. Il bug chiamato Heartbleed permette a un attaccante di leggere sessantaquattro kilobyte alla volta dalla memoria del server senza lasciare alcuna traccia nei log, una capacit\u00e0 devastante perch\u00e9 quella memoria pu\u00f2 contenere password degli utenti che si stanno autenticando, chiavi private dei certificati SSL, cookie di sessione e qualsiasi altro dato sensibile in transito. La vulnerabilit\u00e0 esiste da due anni prima della scoperta lasciando un’incertezza angosciante su quanti dati possano essere stati rubati da attaccanti sofisticati che conoscevano il bug e lo sfruttavano silenziosamente mentre il resto del mondo credeva le proprie comunicazioni protette.<\/p>\n
Il bug risiede nella funzione heartbeat del protocollo TLS che permette di verificare che una connessione sia ancora attiva scambiando piccoli messaggi di controllo tra client e server, un meccanismo innocuo che \u00e8 stato implementato con un errore fatale. Quando il client invia un heartbeat dichiara quanti byte sta inviando e il server risponde restituendo gli stessi byte, ma il codice vulnerabile non verifica che la lunghezza dichiarata corrisponda effettivamente ai dati ricevuti. Un attaccante pu\u00f2 dichiarare di inviare sessantaquattromila byte mentre ne invia solo uno, e il server risponder\u00e0 restituendo sessantaquattromila byte presi dalla propria memoria che includono qualsiasi dato sensibile che si trovava in quelle locazioni. Ripetendo l’attacco migliaia di volte un attaccante pu\u00f2 raccogliere enormi quantit\u00e0 di dati sensibili senza che nessun sistema di monitoraggio rilevi l’attivit\u00e0 anomala.<\/p>\n
La scala del problema \u00e8 difficile da comprendere considerando che due terzi dei server web utilizzano OpenSSL per le connessioni sicure, che la vulnerabilit\u00e0 permette di rubare le chiavi private dei certificati rendendo potenzialmente decifrabile anche traffico passato se era stato registrato, e che non esiste modo di sapere se un server \u00e8 stato attaccato dato che l’exploit non lascia tracce nei log standard. I grandi servizi come Google, Facebook, Yahoo e Amazon hanno patchato rapidamente entro ore dalla disclosure pubblica, ma milioni di server pi\u00f9 piccoli gestiti da aziende con meno risorse potrebbero rimanere vulnerabili per giorni, settimane o indefinitamente se gli amministratori non sono consapevoli del problema o non hanno le competenze per applicare la correzione.<\/p>\n
Per gli utenti la priorit\u00e0 \u00e8 cambiare le password sui servizi critici ma solo dopo che questi hanno confermato di aver patchato il bug, perch\u00e9 cambiare password su un server ancora vulnerabile significa solo esporre la nuova password allo stesso rischio della precedente. L’attivazione dell’autenticazione a due fattori ovunque disponibile aggiunge protezione che rimane anche se la password viene compromessa, richiedendo possesso fisico del secondo fattore tipicamente un telefono oltre alla conoscenza della password. Per gli amministratori le azioni sono pi\u00f9 urgenti e complesse: aggiornare OpenSSL alla versione corretta, rigenerare i certificati SSL dato che le chiavi private potrebbero essere state rubate, revocare i vecchi certificati, forzare reset delle password utenti, e invalidare tutte le sessioni attive che potrebbero essere state compromesse.<\/p>\n
Il bug \u00e8 stato scoperto indipendentemente da due gruppi: il team sicurezza di Google e la societ\u00e0 finlandese Codenomicon che hanno coordinato la disclosure dando tempo ai grandi servizi di patchare prima dell’annuncio pubblico che avrebbe scatenato l’interesse degli attaccanti. La creazione del sito heartbleed.com con il logo del cuore sanguinante e spiegazioni accessibili rappresenta un esempio di comunicazione efficace di una vulnerabilit\u00e0 tecnica complessa a un pubblico non specialista, generando consapevolezza che ha accelerato l’applicazione delle patch. Il nome accattivante e il branding del bug, per quanto insoliti per vulnerabilit\u00e0 di sicurezza, hanno probabilmente salvato innumerevoli server spingendo amministratori che altrimenti avrebbero ignorato l’ennesimo bollettino di sicurezza a prendere azione immediata.<\/p>\n
Heartbleed \u00e8 stato introdotto nel codice OpenSSL nel 2011 da uno sviluppatore tedesco come parte di una nuova feature, \u00e8 stato revisionato e approvato senza che nessuno notasse l’errore, ed \u00e8 rimasto nascosto per due anni nonostante OpenSSL sia uno dei progetti open source pi\u00f9 critici per la sicurezza di internet. Prima di Heartbleed il progetto OpenSSL sopravviveva con un singolo sviluppatore full-time e poche migliaia di dollari di donazioni annuali, risorse ridicolmente insufficienti per mantenere codice da cui dipende la sicurezza di miliardi di transazioni. La sproporzione tra l’importanza critica del software e le risorse dedicate alla sua manutenzione rappresenta un problema sistemico dell’open source dove tutti beneficiano ma pochi contribuiscono, e la Core Infrastructure Initiative creata dopo Heartbleed da Google, Microsoft, Facebook e altri cerca di correggere questo squilibrio finanziando progetti critici.<\/p>\n
Heartbleed ha cambiato permanentemente la percezione della sicurezza informatica dimostrando che anche software considerato affidabile e utilizzato ovunque pu\u00f2 nascondere vulnerabilit\u00e0 catastrofiche per anni, che la sicurezza attraverso l’oscurit\u00e0 non funziona perch\u00e9 i bug vengono scoperti prima o poi, e che l’infrastruttura critica di internet richiede investimenti seri invece di presumere che volontari motivati bastino. L’industria ha risposto con maggiore attenzione all’auditing del codice critico, investimenti in sicurezza da parte delle grandi aziende che dipendono da questi progetti, e consapevolezza diffusa che la catena della sicurezza \u00e8 forte quanto il suo anello pi\u00f9 debole. Per gli utenti la lezione principale \u00e8 che password uniche per ogni servizio, autenticazione a due fattori, e vigilanza costante non sono paranoia ma necessit\u00e0 in un mondo dove la prossima Heartbleed \u00e8 questione di quando, non di se.<\/p>\n
Heartbleed rappresenta un momento di svolta nella consapevolezza pubblica sulla fragilit\u00e0 delle fondamenta su cui poggia la sicurezza di internet, dimostrando che il lucchetto verde nel browser non garantisce protezione assoluta ma solo che le comunicazioni sono crittografate usando software che come tutto il software pu\u00f2 contenere bug. Le lezioni includono la necessit\u00e0 di defense in depth che non si affida a un singolo layer di protezione, l’importanza di risposta rapida quando vulnerabilit\u00e0 vengono scoperte, e la responsabilit\u00e0 condivisa tra chi scrive codice critico e chi lo utilizza senza contribuire alla sua manutenzione. Per chiunque gestisca sistemi o semplicemente utilizzi servizi online, Heartbleed \u00e8 il promemoria che la sicurezza richiede attenzione continua perch\u00e9 gli attaccanti non si fermano mai e la prossima vulnerabilit\u00e0 critica potrebbe essere gi\u00e0 presente nei sistemi di cui ci fidiamo.<\/p>\n
<\/p>\n