Lungi dal concludersi con l’aggiornamento delle versioni di OpenSSL ancora vulnerabili, il dibattito sul bug noto come Heartbleed continua a sfornare nuove polemiche e argomenti di discussione. Ancora una volta sono coinvolti tutti, dalle grandi corporation – colpevoli di non aver supportato abbastanza il progetto – agli hacker alla caccia di nuovi bachi “apocalittici” in stile Heartbleed.
Un retroscena che è sicuramente destinato a lasciare il segno è quello sull’impegno profuso nella gestione e nella cura di OpenSSL, un componente di sicurezza essenziale per la parte di Internet più frequentata dagli utenti ma che è stato sin qui curato da appena due sviluppatori – uno solo dei quali impegnato a tempo pieno – e donazioni di appena 2.000 dollari l’anno.
Fortunatamente il caso Heartbleed sembra avere insegnato qualcosa alle grandi aziende, e ora accanto a Steve Marquess e Stephen Henson (i due sviluppatori di cui sopra) dovrebbero arrivare un bel po’ di forze fresche e OpenSSL dovrebbe giovarsi di finanziamenti “multi-milionari” gestiti da Linux Foundation con il contributo di colossi del calibro di Microsoft, Intel, Google, Facebook e Qualcomm.
Anche Mozilla, nel suo piccolo, offre un discreto compenso monetario (10.000 dollari) a chi sarà in grado di rafforzare il codice di Firefox contro bug potenzialmente simili a Heartbleed in tempo per la release 31 del browser open source. Nell’underground telematico si discute infine su una nuova, presunta vulnerabilità individuata in OpenSSL pericolosa come il succitato Heartbleed. Si tratta probabilmente di una truffa, almeno in questo caso.
Alfonso Maruccia