di Alessandro Iacuelli

L'hanno chiamato Heartbleed e nessuno se n'era mai accorto prima di ora. Tecnicamente si chiama bug, sta per "baco", cioè una falla, un errore di programmazione, una svista, magari recondita, nella scrittura di un software. Capita in tutti i software del mondo fin dal principio dell'era digitale, e capiterà sempre. I bug vengono scoperti da qualche programmatore o qualche tester intraprendente, segnalati e risolti, dando vita a nuove versioni del software sempre più corrette.

Il problema - e l'importanza - di Heartbleed risiede però nella coincidenza di due situazioni: la prima è che esiste da due anni, la seconda è che riguarda un particolare software chiamato OpenSSL. I non addetti ai lavori magari non l'hanno mai sentito nominare, ma è quel software che implementa la crittografia del protocollo http, quello con cui i PC comunicano con i server internet.

Sarà capitato a tutti, navigando su Internet, di collegarsi a determinati siti, soprattutto quando si inseriscono dati sensibili come password o codici delle carte di credito, usando questo protocollo: la URL non inizia con http:// ma con https:// e tutto sta in quella "s" finale. Quella "s" sta ad indicare che la comunicazione tra il nostro PC ed il server viene criptata, cioè codificata in sequenze di caratteri indecifrabili per qualsiasi eventuale intercettatore posto tra noi ed il server a cui ci stiamo collegando. Viene fatto apposta, per impedire che le nostre password dei servizi online (posta, account privati, ecc.) possano essere lette da qualcuno, magari malintenzionato.

Heartbleed non era facilmente sfruttabile, nel senso che ad approfittarne poteva essere solo qualche persona tecnicamente molto preparata, ma per due anni ben due terzi dei siti web di tutto il mondo l'hanno tenuto a bordo. Anche se non proprio facile per tutti, è tecnicamente possibile che, prima che il bug fosse noto ed i sistemi aggiornati, qualche malintenzionato possa aver carpito la vostra password sfruttando Heartbleed.

A farne le spese, sono alcuni tra i principali giganti della rete mondiale: Google, Facebook, Instagram, Yahoo!, Live, Tumblr, MSN, fino a Wikipedia. Il bug è stato risolto e la nuova implementazione della libreria OpenSSL è già stata rilasciata e installata sui server dei giganti. Tuttavia, nessuno ha la garanzia che prima della soluzione la password non sia stata intercettata e decriptata. Pertanto, il consiglio dato a tutti gli utenti della rete mondiale è di cambiare immediatamente le password dei propri accounts su questi servizi.

Il bug è stato scoperto da un gruppo di ricercatori finlandesi che lavorano per una società di sicurezza di Saratoga, in California, e da due esperti della sicurezza di Google. La falla nel sistema di sicurezza è particolarmente grave non solo perché consente di rubare le informazioni criptate, ma soprattutto perché permette di farlo senza lasciare alcuna traccia. Pertanto al momento è molto difficile riuscire a valutare quanti e quali dati siano stati realmente sottratti. Il tutto su due terzi dei siti web di tutto il mondo.

Oltre questo, secondo alcuni esperti sembra si possa ottenere la chiave associata al certificato di sicurezza del sito. Chi la possiede può decifrare tutte le comunicazioni, ed è facile immaginare cosa potrebbe accadere in un caso simile non solo in un social network, ma soprattutto in una banca, o in un'azienda di e-commerce.

Come dichiarato al quotidiano Repubblica da Raoul Brenna del Politecnico di Milano, "gli utenti non possono fare nulla. È tutto nelle mani di chi gestisce i siti web. Sono loro che devono agire rapidamente. Quelli grossi comunque sono già tutti al sicuro. Gli altri devono controllare i loro siti attraverso alcuni strumenti già online e in caso passare all'ultima versione dell'OpenSSL. Non è un'operazione semplice né immediata. Comporta il fermo del sito. E poi bisogna chiedere un nuovo certificato di sicurezza che potrebbe comportare qualche disagio".

Agli utenti, quindi, non resta altro che cambiare la password, quelle di Google come quella di Facebook, non appena ci sia la certezza che il servizio usato abbia aggiornato OpenSSL. Senza dimenticare di avere sempre un occhio di riguardo per le password scelte: se si usa tenerle scritte da qualche parte, è buona norma che non si tratti mai di parole pronunciabili in alcuna lingua del mondo. Per le password che dovete tenere a memoria: prendete le iniziali delle parole di una frase che ricordate bene e mescolatele a numeri e segni di punteggiatura secondo un vostro criterio personale.