Luca Annunziata

Heartbleed, la saga continua

A un mese dalla divulgazione della vulnerabilità di OpenSSL i numeri sono solo in parte confortanti. La metà dei siti colpiti non ha sanato il bug. E qualcuno potrebbe essere caduto nel tranello di una patch prematura

Roma - Sono passate quattro settimane da quando le informazioni su Heartbleed, un serio bug legato ai servizi di OpenSSL, sono state consegnate al pubblico: il problema alla libreria open source, che consente le comunicazioni cifrate tra innumerevoli servizi e siti e i rispettivi utenti, ha coinvolto migliaia di siti e costretto migliaia di amministratori ad un affrettata quanto necessaria campagna di bonifica dei sistemi controllati. A distanza di un mese, tuttavia, la situazione è migliorata solo in parte.

I censimenti svolti interrogando da remoto i sistemi già censiti come affetti dal bug Heartbleed, e cercandone di nuovi, consegnano un quadro solo in parte confortante: ci sono in circolazione almeno 300mila siti ancora affetti dalla vulnerabilità, anche se ovviamente non è possibile stabilire in modo preciso se tale situazione sia frutto di incuria o legata ad altre motivazioni. Rispetto agli oltre 600mila server malati di incontinenza di bit censiti in precedenza si tratta di un miglioramento significativo: tuttavia, ed è probabilmente il dato più preoccupante, ci sono indicazioni che alcuni server in precedenza immuni siano ora invece afflitti da Heartbleed.

La spiegazione più probabile è che il caso Heartbleed abbia causato un'ondata di isteria nei reparti tecnici e ai piani alti di parecchie aziende: gli admin sono stati spinti ad affrettare qualche tipo di iniziativa per affrontare la questione OpenSSL, e in taluni casi potrebbero aver aggiornato il software con una versione affetta dal bug sostituendola a una sana. Sistemi quindi perfettamente sicuri, o quantomeno immuni da Heartbleed, sono stati resi vulnerabili: un'eventualità che complica ulteriormente il quadro, visto che ora sarà necessario per questi admin applicare nuovamente una patch, aggiornare i certificati e revocare quelli potenzialmente compromessi, chiedere o imporre un cambio della password agli utenti. Chi l'avesse già fatto potrebbe, paradossalmente, essere finito nei guai partendo da una situazione di vantaggio.
Nel complesso, in ogni caso, la situazione non è così tragica: la stragrande maggioranza dei siti più noti e visitati del Web è stata resa immune ad Heartbleed poche ore dopo la divulgazione della vulnerabilità, pertanto chi ha seguito la profilassi consigliata di cambio delle password non dovrebbe soffrire conseguenze. A essere interessati dalla vulnerabilità sono stati anche alcuni servizi di VPN (Virtual Private Network) disponibili in Rete, molti dei quali sono utilizzati proprio per garantire sicurezza e riservatezza alle proprie operazioni online: Torrentfreak ha condotto una vasta ricerca in merito, e ha riassunto in un articolo i resoconti su quali servizi sono risultati affetti e quali iniziative abbiano preso in merito.

Luca Annunziata
1 Commenti alla Notizia Heartbleed, la saga continua
Ordina