Ogni blog e sito web che si occupi a vario titolo di informatica e rete internet in questi giorni ha trattato l’argomento Heartbleed ovvero il bug portato all’attenzione del pubblico il 7 aprile 2014 tramite il documento CVE-2014-0160, riguardante la libreria crittografica OpenSSL.
Il bug, esistente da circa 2 anni, avrebbe permesso a malintenzionati di andare a leggere la memoria dei sistemi protetti da OpenSSL compromettendo la sicurezza delle chiavi utilizzate per l’identificazione dei service provider e per il criptaggio delle comunicazioni (nomi, password e contenuti trasmessi dagli utenti). Sarebbe stato quindi possibile intercettare traffico contenente informazioni riservate ed addirittura sostituirsi nelle comunicazioni ad utenti e servizi.
La falla, che avrebbe colpito due terzi di tutti i siti mondiali tra cui anche colossi come Google, Yahoo e Dropbox, è già stata corretta (versione aggiornata 1.0.1g) e la maggior parte dei portali web hanno già provveduto ad aggiornare OpenSSL. Per verificare quali siti sono vulnerabili e quali hanno risolto problema sono stati creati tool online come Heartbleed test.
Non è possibile sapere quali siti e servizi internet siano stati effettivamente violati e quali informazioni possano essere state rubate dato che attacchi di questo genere non lasciano alcun tipo di traccia. La sostituzione delle password di accesso è quindi un’operazione fondamentale che tutti i portali web e fornitori di servizi raccomandano. È tuttavia importante sostituire le password di accesso, come anche accedere ai servizi online, solamente quando i reparti tecnici avranno provveduto all’aggiornamento della libreria e alla rigenerazione dei certificati SSL (altrimenti le credenziali di accesso risulterebbero nuovamente vulnerabili).
Artera dal canto suo comunica che hosting e server in gestione sono stati aggiornati meno di 24 ore dopo l’annuncio ufficiale della falla di sicurezza senza che si presentasse alcun disservizio con, in alcuni isolati casi, un’irraggiungibilità di pochissimi minuti di siti web e server.
Per avere informazioni più dettagliate riguardo alle soluzioni adottate da Artera per garantire ai propri clienti la sicurezza dei servizi contattate un nostro tecnico all’indirizzo info@artera.it.
