Il bug di OpenSSL, “Heartbleed”, ha ricevuto una grande attenzione da parte dei media. Anche se siamo ormai abi-mati ad allarmismi per la più piccola falla in qualche programma, lleartbleed si merita il clamore che ha suscitato. A causa di tale vulnerabilità è possibile, per un pirata che abbia abbastanza tempo a disposizione, scoprire la chiave privata di un server HTTPS.
Facciamo qualche passo indietro: HTTPS è la versione sicura di HTTP, il protocollo del Web. Tutte le comunicazioni su HTTPS vengono crittogra-fate con OpenSSL, quindi se anche qualcuno stesse intercettando la nostra linea Internet non potrebbe leggere ciò che stiamo scrivendo. Per tale motivo HTTPS è utilizzato soprattutto quando l’utente deve inviare la propria password di accesso a un sito. La crittografia si basa su due chiavi: una pubblica, che possono conoscere tutti, e una privata, nota solo al server. Quella pubblica è utilizzata per cifrare il testo, mentre quella privata per decifrarlo. In questo modo, chiunque può inviare informazioni crittografate al server HTTPS, ma solo lui può leggerne il contenuto. Il problema è che il bug Heart-bleed consente a un pirata la lettura della chiave privata di un server, permettendogli quindi di leggere in chiaro ciò che gli utenti stanno scrivendo. Per esempio: se un pirata conosce la chiave privata di Facebook e noi stiamo utilizzando questo social network, il pirata può intercettare il nostro traffico Internet e leggere tutto ciò che inviamo al server stesso, inclusa la password. Di questo bug hanno sofferto per quasi due anni i principali siti del Web: ormai, tutti hanno corretto la vulnerabilità, ma qualche pirata potrebbe comunque essere riuscito a scoprire la nostra password prima che il gestore del sito correggesse il problema in OpenSSL. L’unico modo che abbiamo per proteggerci, quindi, consiste nel cambiare le password. Per fortuna, Heartbleed non ha colpito siti come PayPal, Amazon, o eBay, sui quali solitamente gira molto denaro. Che cosa sarebbe successo se anche Facebook, che è stato vulnerabile a questo bug, avesse avuto un accesso alla nostra carta di credito? La domanda nasconde una preoccupazione più che legittima, perché sembra che Facebook voglia proprio lanciare un servizio di gestione di monete virtuali. Qualcuno lo chiama, in via ufficiosa, “Facebank” e probabilmente sarà un sistema simile a PayPal per lo scambio di denaro virtuale tra persone. Se tale servizio fosse già stato implementato, molti pirati avrebbero potuto facilmente sfruttare il bug Heartbleed per svuotare la carta di credito degli utenti del social network. Ecco perché la sicurezza in Rete deve sempre avere la massima priorità!
Facebook Heartbleed
Il cambio di password in Facebook può essere eseguito dal menu Impostazioni (si clicca sull’icona a forma di ingranaggio). Nella scheda Generale, che viene immediatamente aperta, è sufficiente cliccare sul link Modifica posto vicino al campo Password per far apparire il forni che consente l’inserimento di una nuova chiave. Per sicurezza, è richiesta anche l’attuale parola d’ordine, per verificare l’effettiva identità di chi si trova davanti al computer.
Yahoo Heartbleed
Per modificare la password dell’account Yahoo Mail è sufficiente recarsi sul pannello di impostazioni di Yahoo raggiungibile anche con un clic sull’icona a forma di ingranaggio. La voce Change you password, nella sezione Sign-ln and security, consente l’inserimento di una nuova chiave di sicurezza.
Google Heartbleed
Nonostante il sistema di login di Google sia stato protetto da Heartbleed, sembra comunque che alcuni servizi Google utilizzassero una versione di OpenSSL vulnerabile. Per precauzione, quindi, conviene comunque cambiare la password: basta cliccare sull’apposita icona a forma di ingranaggio e scegliere la voce Impostazioni. Poi, nella sezione Account e Impostazioni si deve cliccare sul link Cambia password.
Wikipedia Heartbleed
Se hai un account Wikipedia, ti conviene modificare la password di accesso, prima che qualcun altro cominci a postare articoli a tuo nome (e magari essere dannati per divulgazione di false notizie). In questo sito, una novità: nessuna icona a forma di ingranaggio! Si deve, invece, cliccare sul link preferenze vicino al proprio nome utente e, nella pagina che si apre, scegliere l’indirizzo Cambia password.