
ROMA – A quasi una settimana dalla scoperta, continua a sanguinare ‘Heartbleed‘, una delle piĆ¹ gravi ‘infezioni’ del web che ha compromesso, in una sorta di effetto domino, la sicurezza di siti, apparecchi hi-tech ma anche dispositivi mobili e app. Mentre si ĆØ insinuato un altro ‘baco’, forse peggiore: la National Security Agency, quella al centro del Datagate, avrebbe saputo della falla e l’avrebbe sfruttata per spionaggio internazionale. Ipotesi che l’agenzia governativa americana ha prontamente smentito.
Heartbleed ĆØ il ‘bug’ che ha messo ‘ko’ il protocollo Open Ssl, quello relativo alla sicurezza utilizzato da milioni di siti nel mondo – social network, banche, gestione della posta elettronica, vendite online – per criptare il passaggio dei dati piĆ¹ sensibili. A scoprire il baco qualche giorno fa, un gruppo di ricercatori finlandesi che lavora per la societĆ Codenomicon di Saratoga, in California, insieme a due esperti della sicurezza di Google. Ma il bug in realtĆ ‘circolava’ da oltre due anni ed ĆØ stato frutto di un errore, come ha rivelato uno dei programmatori del protocollo Open Ssl, Robin Saggelman.
In questo lasso di tempo – secondo Bloomberg – la National Security Agency Usa (Nsa) era a conoscenza della falla e l’avrebbe sfruttata per raccogliere informazioni di intelligence. Dubbio giĆ insinuato nei giorni scorsi dall’esperto di sicurezza Usa Bruce Schneier che ha definito Heartbleed “una catastrofe”. “Non eravamo a conoscenza della vulnerabilitĆ ”, ha replicato un portavoce della Nsa.
La Casa Bianca, a sua volta, ha affermato che quando il governo scopre un bug della portata di Heartbleed, “ĆØ nell’interesse nazionale” mettere a conoscenza le persone interessate. Resta, intanto, un dato di fatto: il ‘lucchetto’ che proteggeva milioni e milioni di utenti si ĆØ rotto da tempo e non si riesce al momento a quantificare esattamente cosa sia stato compromesso.
La falla, infatti, non solo ha riguardato i maggiori server del web ma ha toccato pure apparecchi elettronici come i ‘router’ (su cui scorre il traffico Internet) e i sistemi ‘firewall’ per la sicurezza delle reti. E anche i dispositivi mobili come smartphone e tablet non sono al sicuro, Sempre secondo Bloomberg, circa sarebbero in pericolo i dispositivi che montano una particolare versione del sistema operativo Android (4.1.1 Jelly Bean).
Mentre per Trend Micro, alcune app del Google Play Store – 1300 su 390mila esaminate – sono risultate connesse a server vulnerabili. Tra queste, ci sono app bancarie e per i pagamenti online. E cambiare le password non risolve il problema fino a che gli sviluppatori di app e i ‘web service provider’ non tappano la falla. Esattamente come ĆØ accaduto nei giorni scorsi per i siti esposti ad Heartbleed, tra cui Yahoo! e Facebook, che solo dopo aver aggiornato la sicurezza hanno consigliato agli utenti di modificare le loro chiavi d’accesso.