Cos’è Heartbleed e cosa fare per proteggersi da questa falla di sicurezza internet

Heartbleed la falla di sicurezza che fa tremare internet mostrando in chiaro le password e i dati immessi nei siti cifrati con HTTPS, vediamo come proteggerci

OpenSSL è un software di cifratura del protocollo HTTPS ovvero quello usato dai siti internet per proteggere l’autenticazione e l’immissione di dati sensibili (le password principalmente) tra il PC dell’utente/cliente e il sito web fornitore del servizio in questione.
In questo modo grazie a tale cifratura OpenSSL i siti con protocollo HTTPS sono sicuri, ovvero la password digitata dall’utente per accedervi e i successivi dati sensibili immessi non potranno essere intercettati e/o decifrati quindi rubati da hacker e altri cybercriminali.

Teoricamente è così ma in pratica no. Molto recentemente infatti è stata scoperta una pericolosa falla di sicurezza dal nome Heartbleed che ha fatto e sta facendo tremare internet. Più nello specifico Heartbleed è un bug di sicurezza del software OpenSSL che interessa la cifratura del protocollo HTTPS e di conseguenza ciò significa che le password usate per autenticarsi su i siti HTTPS (quelli con l’icona del lucchetto chiuso) e i dati digitati dopo l’accesso (numero della carta di credito, email, documenti e quant’altro) non sono cifrati bensì in chiaro quindi in teoria possono essere intercettati. E in teoria dati alla mano c’è la possibilità che tutti noi siamo stati vittime di Heartbleed (un gioco di parole che significa cuore sanguinante).


La cosa preoccupante infatti è che questa falla di sicurezza (dovuta a un errore involontario di programmazione da parte del tedesco Robin Seggelmann) di OpenSSL versione 1.0.1 esiste da più di due anni e tale software di crittografia è utilizzato da milioni di siti web (secondo arstechnica.com è usato da due terzi dei siti internet). Siti ampiamente navigati a livello mondiale come i noti Google, Yahoo, Facebook, Dropbox, OkCupid, Facebook, Tumblr, Minecraft, Flickr, Instagram e tanti altri ancora (i siti appena citati hanno già risolto il problema e sono nuovamente sicuri).
Subito dopo la scoperta del bug Heartbleed è stata rilasciata la nuova versione sicura OpenSSL 1.0.1g che pone fine a tale falla di sicurezza. Il problema però è che da parte dei gestori dei siti internet e server ci vuole del tempo per installare la nuova versione OpenSSL 1.0.1g dunque molti domini potrebbero essere ancora non sicuri.

Che cosa fare per proteggersi da Heartbleed?
Si deve cambiare la password su tutti i siti internet sui quali ci si è registrati e che sono stati colpiti dal bug Heartbleed, ovvero che hanno utilizzato OpenSSL versione 1.0.1.
Attenzione però, la password va cambiata soltanto nel momento in cui si è sicuri che il sito in questione ha risolto la falla di sicurezza installando la nuova versione sicura OpenSSL 1.0.1g. Infatti non ha senso cambiare password su di un sito che ancora utilizza OpenSSL versione 1.0.1.

Come sapere se un sito internet è o è stato affetto da Heartbleed?
Fortunatamente in queste ultime ore sono stati messi a disposizione alcuni servizi online per verificare se un sito internet ha utilizzato OpenSSL versione 1.0.1 e se lo utilizza ancora. Dunque adoperare uno o più di questi servizi web:
digitando nell’apposito campo di inserimento il nome del sito (ad esempio nomesito.com) che si desidera testare in tal senso e leggere il responso. C’è anche l’estensione Chrome dal nome Chromebleed che una volta installata notifica a l’utente se il sito internet che sta visitando è affetto dal bug Heartbleed.

LEGGI ANCHE: Addon per sapere se un sito è stato colpito da Heartbleed, Chrome e Firefox

Come comportarsi dopo la verifica del sito internet?
Se il sito internet analizzato con gli strumenti sopra indicati non ha mai utilizzato OpenSSL (come Microsoft ad esempio con Outlook e Hotmail) non si deve fare niente, si è al sicuro. Invece se si è accertato che quel sito ha utilizzato OpenSSL 1.0.1 ma che ha risolto la falla di sicurezza (installando la nuova versione sicura OpenSSL 1.0.1g) allora si deve cambiare la password di accesso utilizzando una parola segreta nuova mai utilizzata in nessun altra registrazione/account. Se non lo si è già fatto è importante non utilizzare mai la stessa password su siti differenti.
Infine come detto prima, se il sito internet verificato è ancora affetto dal bug Heartbleed, per ovvie ragioni di sicurezza non si deve accedere e usare il sito, né cambiare la password fino a che la falla non verrà risolta da parte dei gestori del dominio o server.

Mashable ha pubblicato una lista, costanteamente aggiornata, di noti siti e servizi internet colpiti e non da Heartbleed sui quali è già possibile cambiare la password perché la falla di sicurezza è stata risolta. Nell’elenco sono riportati anche i siti sui quali persiste ancora Heartbleed.