Uno degli effetti del baco Heartbleed è certamente quello di aver aperto la discussione in merito alla sicurezza dei componenti software usati per proteggere le comunicazioni SSL/TLS, una discussione che tende ad addossare alla libreria OpenSSL (e i suoi sviluppatori) ogni responsabilità e che spinge alla creazione di una piattaforma alternativa.
Una di queste possibili alternative si chiama LibreSSL , fork open source di OpenSSL realizzato dal creatore (tra le altre cose) del sistema operativo OpenBSD Theo de Raadt, con l’obiettivo specifico di ripulire la vecchia libreria del codice superfluo e quindi potenzialmente pericoloso per la sicurezza del componente.
Appena nato LibreSSL già risulta parecchio “dimagrito” rispetto a OpenSSL, con 90.000 linee di codice C in meno – la rimozione di molti delle quali era già stata preventivata dal team di OpenSSL ma non era ancora stata messa in pratica. E nonostante la cura dimagrante, spiega de Raadt, il codice di LibreSSL continua a essere compatibile a livello di API con OpenSSL e il software progettato per farne uso.
Mentre c’è chi pensa al futuro di OpenSSL, le grandi corporazioni continuano a operare per contenere le conseguenze del baco Heartbleed: Apple, che aveva inizialmente dichiarato l’immunità dei propri prodotti rispetto al problema, ha rilasciato un aggiornamento per il firmware di AirPort e Time Capsule (versione 7.7.3), dispositivi evidentemente colpiti dalla presenza del bug .
Identificare la messa in pratica di Heartbleed in un vero e proprio attacco pratico contro le infrastrutture di rete è complicato, dicono i ricercatori, ma di certo non impossibile: la società di sicurezza Mandiant sostiene di aver individuato uno di questi attacchi contro una non meglio specificata azienda, condotto entro le prime 24 ore seguite alla pubblicazione delle informazioni sul bug.
Alfonso Maruccia