Heartbleed: una minaccia per la sicurezza di Internet

Che cos’è Heartbleed? Negli ultimi giorni si possono leggere molte notizie a riguardo, soprattutto online, ma c’è ancora un po’ di smarrimento. Anche in questo caso pare ci sia stato lo zampino della National Security Agency
( NSA ), l’agenzia governativa americana per la sicurezza nazionale. Ma proviamo a capirne di più concentrandoci sui punti fondamentali.

Heartbleed è un bug, ovvero un errore di programmazione presente nel protocollo OpenSSL, un sistema usato per la crittografia delle comunicazioni nel web. La falla è stata scoperta da Codenomicon, una società finlandese che si occupa di sicurezza, insieme a un informatico di Google. Quindi, moltissimi dati sono esposti a furti, in particolare numeri di carte da credito, comunicazioni presenti nei social network, password, servizi di posta elettronica, di e-commerce e di chat.
Mashable ha fornito una lista dei siti e dei servizi potenzialmente colpiti dal bug: infatti, suggerisce di cambiare la password per Facebook, Google, Pinterest, Yahoo e altri ancora. Sono, quindi, dei consigli più che delle certezze. Però, Heartbleed sicuramente rappresenta una delle più grandi minacce per la sicurezza di Internet che siano mai esistite. E quando spunta fuori anche un’agenzia come quella della NSA, allora la questione diventa ancora più delicata.

Secondo alcune fonti anonime raccolte da Bloomberg, Heartbleed era già conosciuto dalla NSA da circa due anni e gli agenti dell’intelligence americana hanno approfittato di questo errore di programmazione per intercettare numerose comunicazioni effettuate tra i cittadini. Ovviamente, la NSA smentisce tutto ciò affermando che “Il Governo Federale fa affidamento su OpenSSL per proteggere la privacy degli utenti dei siti governativi e di altri servizi online. Questa Amministrazione prende seriamente le proprie responsabilità nel collaborare per mantenere Internet aperta, interoperabile, sicura e affidabile. Se il Governo Federale, compresa l’intelligence, avesse scoperto questa vulnerabilità prima della scorsa settimana, avrebbe informato responsabilmente la community che gestisce OpenSSL“. Questa dichiarazione, alla luce dello scandalo Datagate, concede più di qualche dubbio. Milioni di siti web e circa un miliardo di dispositivi mobile sono risultati vulnerabili a causa di Heartbleed.

Dov’è la verità? Difficilmente potremo saperlo. La NSA, soprattutto negli ultimi tempi, respinge qualsiasi tipo di storia che la vede coinvolta negativamente; dall’altra parte, i grandi servizi di posta elettronica e i grandi social network tentano di vestire i panni delle vittime. Ma si conoscono bene gli interessi che ruotano attorno ai dati e ai metadati. Perciò, l’ipotesi di un loro coinvolgimento, anche minimo, è più che plausibile. Le vere vittime sono sempre gli utenti, quelli consapevoli.

Fonti: puntoinformatico.it
wired.it


Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.