Non ci si può fidare proprio di nessuno, specialmente sul web: è di pochi giorni fa la notizia che la Microsoft ha diffuso un aggiornamento per tutte le versioni del browser Internet explorer, comprese quelle per il sistema operativo Xp, per correggere un bug scoperto nel mese di aprile, ma presente in realtà da almeno un paio d’anni, che consentiva agli hacker di prendere il controllo dei computer degli ignari utenti.

Ma andiamo con ordine: il mese scorso, con grande clamore, il Dipartimento di Sicurezza interna degli Stati Uniti ha diramato un comunicato a tutti gli uffici federali del paese invitando i dipendenti ad utilizzare un browser alternativo a Internet explorer, in quanto quest’ultimo risultava fortemente a  rischio.

Il bug, ossia la falla scoperta nel programma, era particolarmente subdolo: se un utente visitava un sito a rischio, a sua insaputa concedeva un accesso ad eventuali intrusi (hacker), i quali potevano impossessarsi di tutti i suoi dati (principalmente le password da questi usate per accedere ai più  svariati siti). Il bug metteva a rischio in particolare i computer degli uffici governativi, per via della mole di dati sensibili che questi abitualmente gestiscono, mentre meno esposti erano i pc dei privati, più che altro perché meno appetibili per gli hacker.

Questa situazione ha messo in allarme il colosso americano dell’informatica, il cui browser, nonostante i molteplici difetti e l’ormai agguerrita concorrenza di altri programmi analoghi, resta ancora il più usato al mondo; tanto che nel giro di pochi giorni è giunta la soluzione al problema. Almeno fino alla scoperta del prossimo baco (o buco).

Il difetto del browser Internet explorer è venuto alla luce solo un mese dopo la scoperta di un altro grave bug, noto al pubblico con il nome di Heartbleed (letteralmente “cuore sanguinante”). Definito dagli esperti d’informatica come una delle peggiori minacce nella storia di internet, Heartbleed è una falla del sistema di criptaggio noto come OpenSSL. Scoperto per caso da due ricercatori finlandesi, anche Heartbleed in realtà era presente già da almeno due anni nel momento in cui è stato rilevato.

Ma come funziona esattamente questo bug? Ogni volta che si fanno acquisti su siti come ebay o Amazon, oppure si accede al proprio conto tramite internet banking (o sistemi analoghi come le poste online o Paypal), accanto all’indirizzo del sito web, a sinistra, compare l’icona di un lucchetto e al contempo l’url viene preceduto dalla sigla https anziché dal consueto http; questo è il segnale che il sito usa il sistema di criptaggio OpenSSL. Analogamente al bug di explorer, Heartbleed consente ad operatori esterni di rubare i dati d’accesso.

È facile comprendere come la scoperta di una falla simile abbia messo in allarme i responsabili della sicurezza di banche, siti di e-commerce ed ogni altro servizio che faccia uso di OpenSSL: praticamente, degli hacker in gamba sfruttando Heartbleed potevano impossessarsi delle password di conti correnti, account di utenti privati e commerciali e quant’altro. Se il bug di explorer pare essere stato risolto rapidamente, per Heartbleed le cose sembrano essere più complicate. In attesa di conoscere gli effettivi danni provocati da questa falla, i siti colpiti dal bug hanno invitato i loro utenti a cambiare tutte le password.

Questa misura, se pure non è la soluzione definitiva per scongiurare il pericolo del furto di dati, dovrebbe quantomeno rendere più difficile la vita ai criminali informatici. Resta ben inteso che modificare le proprie password con una certa frequenza, soprattutto quelle relative ai siti di compravendita online, dovrebbe essere una misura di sicurezza abituale per tutti.
Saluti dalla plancia,

CARLO DELASSO