E' di ieri la scoperta di una falla nel protocollo di cifratura SSL. Per tutti coloro che non masticano molto l'informatica, l'SSL può essere spiegato come il metodo standard che cripta le comunicazioni del nostro browser quando ci colleghiamo ad un sito protetto, "quello che fa apparire li lucchettino vicono alla barra degli indirizzi". Primo fra tutti, ovviamente, quello dell' Home Banking !!

Cosa comporta questa falla? La nostra banca è a rischio? Ecco alcune semplici mossi per scoprirlo e correre ai ripari.

La falla

Si chiama Heartbleed, "sanguinamento del cuore", nome romantico e drammatico che evidenzia una falla davvero critica per alcuni sistemi. La falla infatti permetterebbe, se sfruttata, di leggere la memoria dei processi che usano questo sistema di cifratura e quindi di accedere a informazioni riservate.

Per ogni altro approfondimento consigliamo la lettura del materiale pubblicato dai ricercatori che hanno scoperto questo bug. E' già stato rilasciato un fix del sistema e molti sistemisti in questo momento stanno lavorando per ripristinare il corretto livello di protezione.

La soluzione è quindi a portata di mano, ma dovrebbe far riflettere riguardo all'esigenza di avere sitemi informatici sempre aggiornati nei sistemi bancari, questione portata alla ribalta dalla fine del supporto a Windows XP su cui si basano i sistemi di molte filiali.

Il controllo

Per sapere se la nostra banca (o un qualsiasi sito che comunichi in https) sia a rischio, basta collegarsi al sito http://filippo.io/Heartbleed/  ed inserire nella casella al centro della pagina l'indirizzo da controllare. Dopo pochi istanti la pagina ci darà un responso.

No dobbiamo mettere altri dati, soprattutto quelli personali o di accesso al nostro conto o profilo. Il test invia un testo noto (in questo caso "yellow submarine") e cerca poi di rompere la cifratura col metodo Heartbleed, Se ci riesce e ritrova il testo noto, vuol dire che il sito è vulnerabile.

Hanno fin'ora superato il test e non presentano problemi:

• chebanca
• fineco
• webank
• iwbank
• poste.it
• facebook
• twitter

Sono risultati fragili o non hanno dato esito positivo (non vuol dire che siano a rischio)

• prepper.it  ;-P

La difesa

Se il nostro sito o la nostra banca sono vulnerabili dovremo procere in questo modo:

• avvisare l'amministatore, il gestore o l'helpdesk del sito
• considerare che, potenzialemente, tutti i dati che scambiamo con il sito sono "spiabili"
• testare nuovamente il sito ad intervalli regolari
• non utilizzare le funzioni private del sito fino a correzione del problema

Links:

• http://heartbleed.com/
• http://www.wired.it/attualita/tech/2014/04/09/heartbleed-bug-sicurezza/
• http://hi-tech.leonardo.it/openssl-heartbleed-bug/