In questi giorni il web non ha fatto che parlare dell’Heartbleed bug, vulnerabilità scoperta nella libreria crittografica OpenSSL, comunemente utilizzata su molti server per gestire il trasferimento di dati, in forma cifrata, fra client e server (e viceversa) utilizzando il protocollo HTTPS.
Nell’articolo Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS?, abbiamo spiegato da che cosa nasce il bug Heartbleed e quali sono i passaggi che amministratori ed utenti finali debbono seguire per evitare di correre rischi.
Utilizzare il bug Heartbleed per sottrarre informazioni altrui costituisce reato. E ciò nonostante in Rete sia ormai noto il codice exploit utilizzabile per far leva sulla pericolosa vulnerabilità.
Primo a finire nei guai è stato un 19enne, Stephen Arthuro Solis-Reyes, che secondo l’accusa avrebbe sfruttato il bug Heartbleed per impossessarsi delle chiavi private utilizzate per proteggere le transazioni gestite dai server dell’agenzia delle entrate canadese.
Solis-Reyes avrebbe poi saccheggiato i dati di 900 contribuenti prima che i sistemi affetti dal bug venissero messi in sicurezza dai tecnici dell’agenzia delle entrate.
La polizia, che nelle scorse ore ha bussato alla porta di Solis-Reyes, intende accertare se il giovane abbia agito o meno da solo ed in che modo i dati sottratti siano stati eventualmente riutilizzati.
Il giovane, comunque, non si è inventato nulla. Il suo attacco nei confronti dell’agenzia delle entrate canadese (che tra l’altro si era già tempestivamente attivata per aggiornare OpenSSL, revocare i vecchi certificati digitali ed attivare i nuovi) è stato sferrato dopo la pubblicazione, sul web, dei dettagli tecnici relativi alla vulnerabilità.
Frattanto, gli autori di TOR (Anonimato in Rete con TOR: per visitare qualunque sito tutelando la propria privacy; Navigare anonimi online con Chrome) hanno spiegato di aver scoperto che alcune centinaia di nodi di uscita utilizzati nel network fanno ancora uso di versioni soggette al bug di OpenSSL.
I nodi affetti dal problema, circa il 12% del totale, possono consentire agli aggressori di recuperare i dati in transito, in forma non cifrata. Per questo motivo, tali sistemi sono stati posti in una “black list”.