QR code per la pagina originale

Heartbleed, un banale errore di programmazione

Il bug è stato causato da un errore di programmazione. Un tool sviluppato dall'italiano Filippo Valsorda permette di scoprire i siti web ancora vulnerabili.

,

Heartbleed è una delle vulnerabilità più gravi mai scoperte, in quanto il protocollo open source OpenSSL è molto diffuso, essendo utilizzato da oltre il 66% dei siti web in tutto il mondo, la maggior parte dei quali eseguiti su server Apache. Ora si scopre che il bug è la conseguenza di un banale errore di programmazione. Il “colpevole” è lo sviluppatore tedesco Robin Seggelmann, che involontariamente non ha individuato il problema durante la revisione del codice.

In breve, il bug Heartbleed potrebbe consentire il furto di informazioni, come username, password e dati delle carte di credito digitati sui siti web che usano una versione vulnerabile di OpenSSL. Normalmente questo protocollo serve per proteggere le comunicazioni tra server e client mediante algoritmi di crittografia. La vulnerabilità, invece, permette ad un malintenzionato di accedere ai dati in chiaro, leggendo la memoria del sistema remoto. Il bug è stato scoperto solo pochi giorni fa, ma è presente nel codice da oltre due anni.

Robin Seggelmann ha ammesso di aver introdotto il bug, ma di averlo fatto in modo involontario. Purtroppo, nessun altro sviluppatore ha scoperto l’errore di programmazione, le cui conseguenze si sono rivelate piuttosto gravi. Fortunatamente, il bug è stato corretto e tutti i principali siti web hanno aggiornato OpenSSL, ma non è possibile stabilire se le password degli utenti sono già finite nelle mani sbagliate. Il primo passo è dunque verificare se il sito è ancora vulnerabile, utilizzando un semplice tool realizzato dall’italiano Filippo Valsorda, un 19enne di Milano, esperto di sicurezza e crittografia.

Esistono anche estensioni per Firefox e Chrome che sfruttano il servizio di Filippo per verificare i siti web visitati con i due browser. Il secondo passo è cambiare la password, se il sito era vulnerabile (solo se è stata installata la patch).

Il bug Heartbleed però non riguarda solo i siti web, ma anche i dispositivi usati per la connessione ad Internet. Cisco ha comunicato che alcuni router, switch e firewall sono vulnerabili, quindi rilascerà al più presto un nuovo firmware. È consigliabile verificare sui siti web dei produttori se il proprio dispositivo usa una versione buggata di OpenSSL.

Fonte: The Verge • Notizie su: