In questi giorni sul web è praticamente impossibile non cedere alla tentazione di farsi cogliere dal panico, a causa della diffusione di una notizia: pare che una grande vulnerabilità, chiamata Heartbleed (CVE-2014-0160) – HeartBleed  in inglese significa cuore sanguinante – abbia colpito facendo breccia nel sistema che due terzi dei server nel mondo utilizzano per criptare le informazioni e ottenere la connessione sicura.

Da Wikipedia:

In telecomunicazioni e informatica HyperText Transfer Protocol over Secure Socket Layer (HTTPS) è il risultato dell’applicazione di un protocollo di crittografia asimmetrica al protocollo di trasferimento di ipertesti HTTP. Viene utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti che potrebbero essere effettuati tramite la tecnica di attacco del man in the middle.

Il sistema che garantisce in linea generale si chiama SSL: il Secure Sockets Layer (SSL) in pratica crea un canale di comunicazione criptato tra il client e il server attraverso uno scambio di certificati, in modo che, una volta stabilito questo canale al suo interno viene utilizzato il protocollo HTTP per la comunicazione.

Questo tipo di comunicazione garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione.  Normalmente, quando si visita un sito protetto con un sistema SSL, il computer provvede a mandare periodicamente un breve messaggio di controllo al server cui si è collegato tramite la connessione sicura, per essere certo che sia ancora online e funzionante. La società di sicurezza informatica finlandese Codenomicon, la prima ad accorgersi di HeartBleed, ha scoperto che una falla permette di inviare un falso messaggio breve di controllo al server, facendogli credere di essere il computer della connessione sicura e ottenendo in questo modo i dati presenti nella memoria temporanea del server (RAM).

Ma che vuol dire?

Facciamo un paragone: La connessione sicura HTTPS ci consente di scambiare messaggi tra il nostro computer (e/o dispositivi mobile) e la rete in modo criptato: vale a dire che, se io invio un messaggio al  mio amico, è come se invece di spedirgli messaggi inseriti in buste da lettere, gli spedissi una cassetta di sicurezza di cui soltanto io ho la chiave di lettura. La cassetta di sicurezza arriva al server, il server però conosce la mia chiave, quindi apre la cassetta, sposta il mio messaggio in una seconda cassetta di sicurezza stavolta indirizzata al mio amico, e criptata: il codice di apertura della seconda cassetta è il codice che utilizza il  mio amico, e quindi il messaggio arriva da persona a persona in modo sicuro.

La morale della favola è:

è vero che HeartBleed, se non opportunamente ostacolato, potrebbe rivelarsi un pericolo. Ma dal momento che soltanto gli amministratori di sistema conoscono l’entità dell’impatto che ha avuto e che potrebbe avere, e che saranno loro ad occuparsi di risolvere il problema,
finchè non ne conosciamo realmente l’entità faremmo meglio a non allarmarci, non cambiare tutte le password e tener presente che HeartBleed pare sia stato avviato da un paio d’anni,
quindi l’allarmismo dell’ultim’ora non cambierà di molto le cose 😉

 

Va un po’ meglio ora?