Ultima edizione | Archivio giornali | Archivio tematico | Archivio video

CNR: Alamanacco della Scienza

Archivio

N. 8 - 14 mag 2014
ISSN 2037-4801

L'altra ricerca   a cura di Rosanna Dassisti

Informatica

Colpo al cuore. Del sistema

Si chiama Heart bleed il virus hacker che, già da due anni, è in grado di impossessarsi dei dati personali attraverso tutte le applicazioni e i due terzi circa dei siti che usano la certificazione 'Openssl’. Non entra nei programmi software dei computer, ma accede attraverso il router wifi che consente la connessione internet. Gli utenti spesso non se ne accorgono, anche perché i normali antivirus non lo 'riconoscono’.

È stato soltanto il sospetto che la falla di sicurezza che ha messo in pericolo le funzionalità di internet sia stata intenzionale. “Heartbleed si presenta come un errore di programmazione ma è di una tale banalità che lascia perplessi”, afferma Maurizio Aiello, dell’Istituto di elettronica e di ingegneria dell’informazione e delle telecomunicazioni (Ieiit) del Cnr e delegato nazionale del comitato di programma 'Secure Societies’ Horizon 2020. “Pensare che un esperto di programmazione crittografica possa commetterlo è paragonabile a un team di Formula 1 che prepara perfettamente la macchina per la gara ma dimentica di controllare il livello dell'olio nel motore. Può succedere, ma con che probabilità?”.

Com’è stato possibile, allora? “Openssl utilizza il meccanismo dell'heartbeat: per mantenere attiva una comunicazione, una della due parti chiede all'altra una risposta logica", spiega l’esperto Cnr. “Il 'baco’ si attiva quando la domanda contiene un'incoerenza tipo: 'Se ci sei rispondi con 'Ciao', che è lungo 65.536 lettere’. A quel punto il server restituisce le quattro lettere di ciao più altri 65.532 caratteri di informazione riservata: user e password, documenti o addirittura il certificato di sicurezza”.

Per oltre due anni, quindi, è stato possibile ottenere questo tipo di informazioni dai due terzi dei server di Internet. “Il problema è enorme, perché non è sufficiente cambiare le proprie credenziali per essere al sicuro” aggiunge Aiello. “L'unica soluzione consisterebbe nel rottamare tutti i certificati di sicurezza dei server prodotti con Openssl.