Cominciano a trapelare i primi casi di accuse formulate per lo sfruttamento malevolo di Heartbleed , il famigerato e “catastrofico” bug nella libreria OpenSSL che ha inguaiato mezzo mondo interconnesso: il primo ad avere l’onore di essere arrestato a causa del bug è Stephen Arthuro Solis-Reyes, diciannovenne studente di informatica che ha compromesso i dati registrati nei server della Canada Revenue Agency (CRA).
Come molti altri servizi telematici, anche CRA è stata colpita dalla presenza del bug, mettendo offline il sistema di dichiarazione del redditi via Internet un giorno dopo aver avuto notizia dell’esistenza del problema. Il breve tempo di intermezzo è stato ad ogni modo sufficiente perché ignoti malviventi entrassero nei server e compromettessero le informazioni dei cittadini canadesi.
Solis-Reyes non farebbe più parte della categoria degli “ignoti”, però: è stato arrestato nella sua casa nell’Ontario con l’accusa di aver “rubato” i dati inerenti 900 contribuenti canadesi. E piuttosto probabile che il giovane non sarà l’ultimo ad essere accusato di aver sfruttato il bug in OpenSSL per mettere le mani su informazioni sensibili, uno dei fronti sicuramente più caldi del “day-after” della crisi Heartbleed.
La crisi è infatti destinata a far sentire a lungo i propri effetti, visto che i servizi basati su VPN come OpenVPN e Tor hanno scoperto di essere vulnerabili (nell’ultimo caso si parla di una rimozione di nodi in uscita per un 12 per cento del totale) e visto che anche un colosso come Akamai pasticcia con le patch rilasciandone una seconda dopo aver risolto solo parzialmente il problema con la prima.
Nota (probabilmente) positiva sulla crisi Heartbleed è il fatto che, stando ai ricercatori, la falla non è stata (probabilmente) attivamente sfruttata prima di essere resa nota alla community mondiale. Ciò è probabilmente da imputare al modo in cui è stata gestita la disclosure pubblica del bug, in una timeline fitta di prese di posizione e avvenimenti.
Alfonso Maruccia