Il bug Heartbleed scoperto nel protocollo OpenSSL è diventato un vero e proprio incubo. Non solo permette di rubare le informazioni personali degli utenti, quando accedono ai siti web che non hanno provveduto all’installazione della patch, ma anche di creare una copia esatta del sito utilizzando gli stessi certificati. Contrariamente a quanto ipotizzato, i malintenzionati possono infatti accedere alla chiave crittografica privata. Ciò significa che milioni di siti in tutto il mondo dovrebbero revocare i certificati, causando teoricamente un temporaneo rallentamento di Internet.
Tre giorni fa, CloudFlare aveva dichiarato che il bug di OpenSSL non consente di rubare le chiavi private usate per cifrare le comunicazioni client/server. Per dimostrare la validità delle sue affermazioni aveva proposto una Heartbleed Challenge, creando un sito che usa una versione vulnerabile del protocollo open source. Ebbene, dopo appena 9 ore dall’inizio della sfida, quattro persone hanno ottenuto la chiave privata! L’ingegnere del software Fedor Indutny ha confermato il risultato aprendo un sito identico all’originale, utilizzando lo stesso certificato. CloudFlare ha successivamente revocato il certificato, lasciando il sito attivo per testare i browser.
Quanto successo dimostra che l’installazione di una versione aggiornata di OpenSSL non è sufficiente per garantire la sicurezza degli utenti. I log del server non registrano l’accesso avvenuto tramite l’exploit, quindi nessuno può sapere se i malintenzionati sono entrati in possesso delle chiavi private. I visitatori vedono sempre il prefisso HTTPS e l’icona del lucchetto, ma il sito è fasullo. Gli amministratori dei siti che usano OpenSSL non devono solo installare la patch, ma anche revocare i certificati e richiedere i nuovi.
Il processo non è immediato e potrebbe richiedere diversi giorni. Attualmente sono utilizzati oltre 6,5 milioni di certificati TLS/SSL. Ovviamente non tutti i siti usano OpenSSL, tuttavia la revoca e la riemissione dei certificati potrebbe causare un rallentamento di Internet, oltre a creare grossi problemi alle infrastrutture delle Certificate Authority.