Heartbleed, la madre di tutte le falle di sicurezza?



Se siete di quelli che cambiano la password di accesso a tutti i siti ogni sei settimane o siete “vittime” di un responsabile della rete informatica che vi obbliga a farlo ogni quaranta giorni potete dormire sonni tranquilli. Heartbleed, la falla della sicurezza del protocollo OpenSSL che ha messo in apprensione i webmaster e gli amministratori dei sistemi in rete in tutto il mondo, non potrà portarvi danni.

Se, invece, avete la malsana abitudine di usare ovunque la stessa password “d’annata” è il caso di cambiarla, partendo proprio dai servizi cloud, dai social network e dalla posta elettronica dove transitano informazioni sulla nostra identità digitale, dove memorizziamo informazioni magari riservate e dove, purtroppo spesso, ci arrivano le password per l’accesso ai siti. Il rischio, in questi casi è abbastanza serio perché le nostre credenziali di accesso potrebbero essere state rubate esponendoci, di conseguenza, al concreto pericolo di rimanere vittime di un furto d’identità sfruttando la falla della sicurezza Heartbleed venuta che in questi giorni riempie le cronache dei blog specializzati in tecnologia.

Chiariamo subito un concetto importante. Heartbleed non è una falla vera e propria nel sistema OpenSSL ma, quasi sicuramente, un errore nella scrittura del codice che potrebbe aver consentito ai pirati informatici di intercettare le informazioni trasmesse da siti protetti con il lucchetto “https”. Un errore che potrebbe aver afflitto la sicurezza dei principali siti internet, che sono corsi immediatamente ai ripari, ma che potrebbe essere rimasta sconosciuta perfino a cyber criminali più esperti.

Questo non significa che Heartbleed non è un problema reale ma che, realisticamente potrebbe essere esasperato dalla malsana abitudine di non cambiare le password della posta elettronica, dei servizi cloud e dei siti che utilizziamo per scambiarci informazioni e messaggi. Anzi, se vogliamo portare il discorso al limite, potrebbe aver alzato il livello di attenzione intorno al protocollo OpenSSL diffondendo un allarme che, in fondo, potrebbe portare all’uso di pratiche di sicurezza e di gestione delle password che aumentino la protezione dell’identità digitale degli utenti.

Entrando nel dettaglio del rischio e dando per scontato che le patch rilasciate siano state installate immediatamente su tutti i server web interessati, per evitare il rischio che qualcuno abbia messo le mani sulle nostre credenziali di accesso, è fondamentale cambiare immediatamente la password di Facebook, che si è dichiarata “pulita”, di Twitter e di DropBox e di tutti i siti dove il nostro account potrebbe essere collegato a informazioni relative a pagamenti.

heartbleed