Per milioni di utenti di internet carte di credito, password e dati sensibili sono a rischio da due anni. La colpa \u00e8 di una falla nel sistema di crittografia \u201cOpenSSL\u201d, utilizzato da due terzi dei server per proteggere le transazioni commerciali, le comunicazioni riservate e altri contenuti che dovrebbero rimanere inaccessibili. La minaccia \u00e8 stata denominata \u201cHeartbleed\u201d, cuore che sanguina, e potrebbe essere stata sfruttata dagli hacker per impadronirsi di una gigantesca mole di dati senza lasciare alcuna traccia.<\/p>\n
La scoperta \u00e8 stata effettuata da due esperti di sicurezza di Google e da un gruppo di ricercatori finlandesi. Heartbleed apre una falla nel sistema SSL\/TLS, la cui presenza \u00e8 identificata da un lucchetto nella barra degli indirizzi del browser e dalla scritta \u201chttps\u201d, cio\u00e8 i simboli che indicano all\u2019utente che la connessione \u00e8 sicura. I dati sottratti Sfruttando il bug, gli hacker potrebbero ad esempio aver ottenuto password e dati di carte di credito, potrebbero essere penetrati nelle caselle di posta elettronica e aver avuto accesso ai testi di chat private. Nelle loro mani potrebbero essere finiti anche dati sanitari.<\/p>\n
Non \u00e8 ancora chiaro quanti e quali siano i siti internet interessati dal problema, ma potrebbero essere moltissimi perch\u00e9 la criticit\u00e0 riguarda il sistema pi\u00f9 utilizzato sulla Rete. Tra i server colpiti potrebbero esserci anche quelli di giganti del web. Un portavoce di Yahoo, azienda che pu\u00f2 contare su oltre 800 milioni di utenti in tutto il mondo, ha confermato che il servizio di posta elettronica Yahoo Mail era vulnerabile, ma ha aggiunto che \u00e8 stato rimesso a punto insieme ad altri servizi come Yahoo Search, Flickr e Tumblr.<\/p>\n
Anche se la falla pu\u00f2 essere chiusa con un aggiornamento del software, secondo gli esperti ci sono motivi per continuare ad essere preoccupati. \u201cCredo che nessuna persona che abbia usato questa tecnologia si trovi in una posizione tale da poter dire con certezza che i suoi dati non sono stati compromessi\u201d, afferma David Chartier, amministratore delegato della societ\u00e0 di sicurezza informatica Codenomicon. \u201cIo cambierei ogni password perch\u00e9 \u00e8 possibile che qualcosa sia stato sottratto \u2013 aggiunge Wolfgang Kandek, che lavora per Qualys, azienda produttrice di software nel campo della sicurezza \u2013 Non si pu\u00f2 sapere se sia accaduto perch\u00e9 un attacco non avrebbe lasciato traccia\u201d.<\/p>\n
Cambiare la password non basta Modificare le password potrebbe per\u00f2 non bastare. \u00c8 infatti necessario che vengano aggiornati i software presenti nei server. L\u2019onere principale spetta dunque alle aziende colpite, che dovrebbero avvertire gli utenti del problema e prendere le dovute contromisure. Le autorit\u00e0 statunitensi hanno chiesto alle imprese di verificare se i propri server utilizzano versioni vulnerabili di OpenSSL<\/p>\n