Se avete avuto a che fare con Internet di recente ed avete letto almeno una testata tecnologica nell’ultima settimana, avete senza ombra di dubbio sentito parlare di Heartbleed: questa vulnerabilità, strettamente collegata ad OpenSSL, sembra aver messo a serio rischio milioni e milioni di server in ogni parte del mondo, big informatiche – quali Google e Microsoft – comprese.

Se da un lato questo ha tutta l’aria di essere un quadro abbastanza allarmante, dall’altro dopo la confusione iniziale tanti dubbi sono stati chiariti e, ad onor del vero, il quadro è molto meno critico di ciò che è sembrato negli ultimi giorni.

Allarme si, ma non pandemia è la frase chiave: andiamo a capire con ordine chi è questo Heartbleed, da dove è uscito fuori, chi ha coinvolto e come fare per proteggersi.

Cosa è Heartbleed?

Heartbleed altri non è che il nome di un bug che sfrutta una feature del pacchetto OpenSSL (che offre la cifratura SSL/TLS – meglio nota come https – nella stragrande maggioranza dei siti web), nota in gergo come heartbeat. Sostanzialmente heartbeat genera la risposta del webserver permettendo l’interazione con il vostro computer: quando voi tentate di accedere ad un sito web (ad es. www.chimerarevo.com), il server risponde al vostro computer con una serie di dati del tipo “si, sono online e pronto ad accettare le tue richieste”.

Tale risposta ha un contenuto ed un numero di byte ben precisi, tuttavia i server vulnerabili con Heartbleed, se un cracker invia una richiesta ben orchestrata, potrebbero rispondere anche con dati aggiuntivi (fino a 65.536 bytes) – precisamente, aggiungendo tracce di dati provenienti da altre parti di OpenSSL: in tal modo un utente malintenzionato, tramite una serie di interazioni mirate e successive, potrebbe avere accesso a credenziali d’accesso, cookie ed altro presenti nella memoria del server, provenienti da sessioni precedenti.

I dati ottenibili tramite Heartbleed variano fortemente da sistema e sistema e sono completamente dipendenti da ciò che risiede, nel momento dell’attacco, alla memoria del server.

Heartbleed è davvero pericoloso come dicono?

Si e… no. Le stime iniziali volevano vulnerabile il 60% dei server a livello mondiale, tuttavia una successiva stima di Netcraft parla di un numero decisamente minore – circa il 17.5%, che non è comunque poco.

Tuttavia la cosa importante è che dopo la scoperta del bug, ben precedente alla resa pubblica, OpenSSL è stato immediatamente patchato (il bello dell’open source), e già con la versione 1.0.1.g il problema è stato risolto.

In realtà, le installazioni di OpenSSL senza l’estensione heartbeat non risultano affatto vulnerabili.



Volendo essere ancora più precisi:

OpenSSL 1.0.1 fino a 1.0.1f (incluso) è vulnerabile;

OpenSSL 1.0.1g non è vulnerabile;

La famiglia OpenSSL 1.0.0 non è vulnerabile;

La famiglia OpenSSL 0.9.8 non è vulnerabile.

Le mie password sono a rischio?

Si e… no. Una piccola premessa: le probabilità che un username sia associato alla sua password e che un cracker venga in possesso delle vostre credenziali d’accesso complete, in scenari del genere, per la legge dei grandi numeri è piuttosto bassa.

Alcune tra le più grandi big informatiche (tra cui Google e Yahoo, qui la lista completa) hanno ammesso l’esistenza di un minimo margine di rischio, per cui se siete iscritti ad uno dei siti elencati nella lista fareste bene a cambiare password e, se avete usato la stessa password anche altrove, cambiate anche quella.

Con questo non sto dicendo che qualcuno in qualche parte del mondo sia in possesso dei vostri dati, tuttavia il cambio password (che dovrebbe essere svolto comunque con cadenza di tempo regolare) è una misura aggiuntiva, quasi necessaria, che vi farà dormire sogni più tranquilli.

Gestisco un server, cosa faccio?

Quello che posso consigliarvi è di andare in manutenzione per qualche ora o di schedulare un cronjob – magari da eseguire in tempi di traffico minore – che vi permetta di aggiornare immediatamente OpenSSL all’ultima versione disponibile, svuotare la cache del webserver, e controllare l’integrità dei certificati.

Fatto ciò, potrete (forse) dormire sonni tranquilli anche voi.

In definitiva…

In definitiva Heartbleed è una bella gatta da pelare, ma non deve terrorizzare o allarmare eccessivamente ognuno di noi, sysadmin, webmaster o utente che sia. Basta un po’ di calma e gli step giusti per uscirne completamente puliti e mettere questa triste storia nella lista delle cose già fatte.

Ah, so che vi state chiedendo se la NSA ha usato questa backdoor (perché di fatto lo è) per accedere a dati sensibili degli utenti: loro dicono di no, ma… chi può mai saperlo?