Internet, falla in OpenSSL: a rischio password e carte di credito
Per milioni di utenti di internet carte di credito, password e dati sensibili sono a rischio da due anni. La colpa è di una falla nel sistema di crittografia “OpenSSL”, utilizzato da due terzi dei server per proteggere le transazioni commerciali, le comunicazioni riservate e altri contenuti che dovrebbero rimanere inaccessibili. La minaccia è stata denominata “Heartbleed”, cuore che sanguina, e potrebbe essere stata sfruttata dagli hacker per impadronirsi di una gigantesca mole di dati senza lasciare alcuna traccia.
Rotto il lucchetto che garantisce connessioni sicure
La scoperta è stata effettuata da due esperti di sicurezza di Google e da un gruppo di ricercatori finlandesi. Heartbleed apre una falla nel sistema SSL/TLS, la cui presenza è identificata da un lucchetto nella barra degli indirizzi del browser e dalla scritta “https”, cioè i simboli che indicano all’utente che la connessione è sicura.
I dati sottratti
Sfruttando il bug, gli hacker potrebbero ad esempio aver ottenuto password e dati di carte di credito, potrebbero essere penetrati nelle caselle di posta elettronica e aver avuto accesso ai testi di chat private. Nelle loro mani potrebbero essere finiti anche dati sanitari.
Colpiti anche giganti della Rete
Non è ancora chiaro quanti e quali siano i siti internet interessati dal problema, ma potrebbero essere moltissimi perché la criticità riguarda il sistema più utilizzato sulla Rete. Tra i server colpiti potrebbero esserci anche quelli di giganti del web. Un portavoce di Yahoo, azienda che può contare su oltre 800 milioni di utenti in tutto il mondo, ha confermato che il servizio di posta elettronica Yahoo Mail era vulnerabile, ma ha aggiunto che è stato rimesso a punto insieme ad altri servizi come Yahoo Search, Flickr e Tumblr.
I consigli degli esperti
Anche se la falla può essere chiusa con un aggiornamento del software, secondo gli esperti ci sono motivi per continuare ad essere preoccupati. “Credo che nessuna persona che abbia usato questa tecnologia si trovi in una posizione tale da poter dire con certezza che i suoi dati non sono stati compromessi”, afferma David Chartier, amministratore delegato della società di sicurezza informatica Codenomicon, per la quale lavorano i ricercatori finlandesi che hanno rilevato il problema. “Io cambierei ogni password perché è possibile che qualcosa sia stato sottratto – aggiunge Wolfgang Kandek, che lavora per Qualys, azienda produttrice di software nel campo della sicurezza – Non si può sapere se sia accaduto perché un attacco non avrebbe lasciato traccia”.
Cambiare la password non basta
Modificare le password potrebbe però non bastare. È infatti necessario che vengano aggiornati i software presenti nei server. L’onere principale spetta dunque alle aziende colpite, che dovrebbero avvertire gli utenti del problema e prendere le dovute contromisure. Le autorità statunitensi hanno chiesto alle imprese di verificare se i propri server utilizzano versioni vulnerabili di OpenSSL.
Fonte: rainews24
No Comments