Alcuni ricercatori hanno appena scoperto una vulnerabilità estremamente critica nella libreria crittografica che viene utilizzata da circa due terzi dei server web a livello mondiale per attestare la propria identità ai sistemi client, per prevenire la sottrazione – da parte di terzi – delle credenziali d’accesso utilizzate durante una procedura di login, per impedire l’appropriazione indebita di altre informazioni personali.
La lacuna di sicurezza riguarda OpenSSL, implementazione opensource dei protocolli SSL e TLS (vedere anche l’articolo Certificati digitali SSL gratuiti: a cosa servono e come ottenerne uno in pochi minuti), libreria utilizzata nel web server Apache così come in molti altri prodotti.
Il bug di sicurezza appena venuto a galla sarebbe presente nelle librerie OpenSSL ufficiali da almeno due anni e permetterebbe ai malintenzionati non soltanto di “spiare” il contenuto delle altrui comunicazioni cifrate ma anche di impossessarsi della chiave privata utilizzata durante lo scambio di dati (crittografia asimmetrica).
Lo scopo di qualunque certificato digitale è quello di garantire che una chiave pubblica sia associata alla vera identità del soggetto che la rivendica come propria. Ogni messaggio crittografato con una data chiave pubblica può essere decrittato solo da chi possiede la relativa chiave privata (questo approccio si chiama, appunta, cifratura asimmetrica o cifratura a chiave pubblica). Se siamo sicuri che la chiave pubblica appartiene ad una determinata organizzazione (il gestore del sito web nel caso dei certificati digitali), allora siamo anche sicuri che solo l’applicazione web installata sul server dell’organizzazione potrà leggere i messaggi crittografati con quella chiave pubblica in quanto detentrice della rispettiva chiave privata.
Ovviamente vale anche l’inverso ossia se possiamo decifrare un messaggio con quella chiave pubblica allora siamo sicuri che quel messaggio è stato criptato dall’organizzazione stessa.
La falla – battezzata Heartbleed Bug – è particolarmente pericolosa perché consente di sferrare attacchi che non lasciano alcuna traccia.
La risoluzione del problema è già disponibile e consiste nell’installazione dell’ultima release, OpenSSL 1.0.1g. Il problema, però, riguarda il passato: server web di tutto il mondo potrebbero essere stati oggetti di ripetuti attacchi che hanno portato alla sottrazione delle chiavi private. Pur installando l’aggiornamento 1.0.1g di OpenSSL, se sul server web si continueranno ad usare gli stessi certificati digitali, gli aggressori avrebbero sempre la strada spianata per intercettare le comunicazioni altrui.