Heartbleed, parla "l'autore" del superbug: "Il mio un banale errore di programmazione" - CorCom

IL BUG

Heartbleed, parla “l’autore” del superbug: “Il mio un banale errore di programmazione”

Il programmatore tedesco Robin Seggelmann spiega come è nato il bug: “Lavorando a nuove funzionalità del sistema di criptaggio OpenSSL ho dimenticato di convalidare una variabile”

11 Apr 2014

Federica Meta

Un errore “banale” e “involontario” ha provocato la più pericolosa falla nella storia di Internet: a rivelarlo è lo stesso autore del bug ribattezzato “Heartbleed”, uno sviluppatore di software tedesco che è stato intervistato dal “Sydney Morning Herald”. Robin Seggelmann ha raccontato che più di due anni fa apportò alcune modifiche al protocollo del sistema di criptaggio “OpenSSL”, utilizzato da provider di posta, social network e dai maggiori siti internazionali.

“È molto semplice da spiegare: stavo lavorando su alcune migliorie del sistema OpenSSL, stavo apportando correzioni di bug e stavo aggiungendo nuove funzionalità – ha spiegato Seggelmann – In una di queste nuove configurazioni, sfortunatamente, mi dimenticai di convalidare una variabile che conteneva una parte di codice”.

Un errore “abbastanza banale”, ha spiegato l’informatico, che però ha provocato un danno “grave”. Il codice fu controllato anche da un altro sviluppatore, Stephen Henson, e anche lui non si accorse della mancanza della convalida del codice “e l’errore finì nella versione rilasciata del software”.
Da quando è stato lanciato l’allarme, si rincorrono teorie di cospirazioni e spionaggio. Ipotesi “allettanti”, secondo l’informatico, in particolare dopo lo scandalo dell’Nsagate, “ma non applicabili a questo caso”.

“Posso assicurarle – risponde al giornalista – che né l’Nsa, né alcuna altra agenzia d’intelligence o compagnia privata è stata coinvolta nella creazione di questo bug“, dice. “È stato un semplice errore di programmazione“, ripete, “che non è stato visto nemmeno dai revisori del team di OpenSSL. Sfortunatamente l’errore è stato in un contesto rilevante per la sicurezza, il che ha consentito l’accesso ai dati protetti, e dunque l’ha reso grave. A ogni modo, non ho alcuna informazione riguardante il fatto che il bug sia stato sfruttato da chicchessia, visto che non ero a conoscenza del mio errore fino a che non è stato reso pubblico”.

Sul fatto che il bug sia stato scoperto solo due anni dopo “l’errore”, Seggelmann spiega: “Credo che ci sia voluto così tanto perché è una nuova feature di non largo utilizzo e inoltre perché non si tratta di un errore concettuale, ma di semplice programmazione”.

Ribattezzato “Heartbleed”, il bug è stato definito dal New York Times “la più grave minaccia alla sicurezza della rete degli ultimi anni”.

A lanciare l’allarme è stato un gruppo di ricercatori finlandesi che lavorano per una società di sicurezza californiana di Saratoga, e da due esperti della sicurezza di Google.

La falla riguarda il software di criptaggio più diffuso al mondo, il sistema “OpenSSL”, e in particolare l’ “https”, il lucchetto che protegge le informazioni più sensibili di due terzi dei server di tutto il web. Questo permette ai pirati di impossessarsi dei dati senza lasciare alcuna traccia in rete.

Tra i siti più esposti al momento vengono indicati Yahoo! e il suo social media Tumblr, ma in passato potrebbero esser stati presi di mira anche Google, Apple e Microsoft e i social media da Facebook a Twitter. Secondo le voci che si stanno spargendo sul web nelle ultime ore un primo rimedio potrebbe essere cambiare le password e modificare le chiavi virtuali per il criptaggio di messaggi e dati da parte dei siti interessati.

Ma il bug prende di mira anche i sistemi hardware. A renderlo noto sono stati Cisco Systems e Juniper Networks, che tra i loro prodotti annoverano router, switch, firewall e altri prodotti per la rete. Il rischio a questo punto è che i pirati informatici possano entrare in possesso di password o informazioni sensibili introducendosi nei grandi network delle aziende o anche nei pc privati.

Nella corsa al rimedio per questa “falla” della reta emerge il fatto che se da una parte i “colossi” del software hanno preso provvedimenti e risolto il problema, per l’hardware “riparare” i sistemi potrebbe essere molto complesso e richiedere molto più tempo.

Trend Micro, intanto, sottolinea che gli ultimi test sul bug hanno mostrato che 600 dei primi 10.000 siti del ranking Alexa sono stati colpiti, e tra loro Yahoo, Flickr, OKCupid, Rolling Stone e Ars Technica. Sarebbero state attaccate da Heartbleed, inoltre, più di 1.300 App su Google play. “I laboratori Trend Micro – si legge in una nota della società – hanno esaminato finora 390.000 app su Google Play e scoperto già 1.300 app connesse a server vulnerabili. Tra queste 15 sono app bancarie, 39 app per pagamenti online e 10 app di shopping online”. “Cambiare le password non risolverà il problema – sottolineano da Trend Micro – fin quando gli sviluppatori di app e i web service providers non risolveranno il problema lato loro. Al momento l’unica soluzione è utilizzare meno possibile le app di pagamento e quelle che effettuano transazioni”.

“Stiamo perdendo il controllo dei nostri dati in Rete – aggiunge David Emm, Senior Regional Researcher di Kaspersky Lab – In termini di utilizzo di massa, penso che Android stia diventando quello preso più pesantemente di mira e il pericolo è che molti utenti ancora non si rendono conto che gli smartphone e i tablet possono essere infettati.