Grave vulnerabilità identificata nelle librerie OpenSSL, al cuore dei servizi sicuri di comunicazione ed ecommerce. Ecco cosa fare.
Ha un nome, Heartbleed, un’età presunta: due anni.
Tecnicamente è un bug, una vulnerabilità identificata in OpenSSL, vale a dire nella versione open source dei protocolli crittografici SSL e TLS che permettono le comunicazioni sicure.
Sono librerie di codice ampiamente utilizzate online per garantire la sicurezza nelle transazioni commerciali e la riservatezza nella trasmissione di dati e informazioni sensibili, adottate, dicono oggi le cronache, su qualcosa come due terzi dei server mondiali.
Ebbene, secondo quanto è emerso in queste ultime ore, il bug di sicurezza sarebbe presente da almeno due anni nelle librerie OpenSSL, consentendo di fatto ai malintenzionati l’accesso alle comunicazioni criptate degli utenti, senza che ne resti alcuna traccia.
Impossibile, dunque, valutare l’entità o la numerosità delle informazioni finora sottratte, pare solo che la vulnerabilità abbia toccato tutti i big dell’online: si parla di Yahoo, di Flickr, di Tumblr, ma anche di Facebook, Google, Apple, Microsoft, Amazon, Twitter.
Il rimedio già c’è ed è un aggiornamento alla release 1.0.1g di OpenSSL, che tutti i big si stanno affrettando a implementare: non è un caso che nella giornata di ieri si sono susseguiti su Twitter i messaggi dei singoli operatori, volti a rassicurare l’utenza dell’avvenuto deployment della nuova release sulle loro piattaforme.
In attesa del cessato allarme, ecco tre consigli pratici su come comportarsi nel frattempo:
– attendere l’annuncio ufficiale dai gestori dei servizi online utilizzati circa l’avvenuto aggiornamento alla nuova release di OpenSSL
– una volta ricevuta la conferma, modificare tutte le password
– tenere monitorata per almeno una settimana tutta l’attività sugli account più sensbili (bancari ed email, ad esempio) per verificare l’assenza di comportamenti anomali.