La catastrofe Heartbleed ha sollevato il velo sulle insicurezze di OpenSSL, una libreria fondamentale per il funzionamento di Internet ma gestita con risorse a dir poco insufficienti da un paio di programmatori praticamente volontari. Ora che la community ha deciso di metterci sopra le mani, OpenSSL fa (ancora) notizia per bug che infestano il codice da un tempo incredibilmente lungo.
Scoperto a maggio dal ricercatore Masashi Kikuchi, il nuovo baco di OpenSSL è stato classificato come “CCS Injection Vulnerability” e permette a un malintenzionato di sottrarre informazioni sensibili dalle comunicazioni cifrate durante la fase di “handshake” tra client e server: i dati vengono sottratti in forma non cifrata ed è inoltre possibile forzare la comunicazione a utilizzare chiavi crittografiche deboli.
Il bug sembra Heartbleed perché può essere sfruttato per estrarre dati teoricamente “segreti” su comunicazioni che dovrebbero essere cifrate e quindi illeggibili, ma non si tratta di un problema allo stesso livello di pericolosità di Heartbleed perché per sfruttare la vulnerabilità occorrerebbero una serie di condizioni (a cominciare dalla presenza dello stesso pacchetto OpenSSL vulnerabile su client e server) improbabili da individuare tutte assieme. Per di più, la sua applicabilità pare limitata a specifiche formule di comunicazione e scelte di protocollo molto rare nella vita reale.
Nondimeno si tratta di una vulnerabilità potenzialmente pericolosa le cui conseguenze sono piuttosto difficili da valutare, un bug che infesta il codice di OpenSSL da 10 anni e che per di più non lascia traccia di sè dopo un attacco in maniera simile a quanto capita con il già citato Heartbleed. Una versione della libreria priva del baco è già stata rilasciata.
Alfonso Maruccia