Ricordate Heartbleed , la falla scoperta sul protocollo di sicurezza online (OpenSSL) più usato sul web? Sembra che la sua minaccia non si sia esaurita, nemmeno dopo che quasi tutti i siti esposti sono corsi al riparo, installando il software correttivo necessario.
Secondo Nicholas Weaver, esperto di informatica della Università di Berkeley, in California, ci sarebbero ancora migliaia di dispositivi basati su cloud ancora vulnerabili ad Heartbleed, malgrado la patch già disponibile.
Nel corso delle ultime settimane, Weaver insieme a un team di ricercatori presso l’Università del Michigan ha scandagliato la Rete per verificare a che punto è la bonifica del baco: la maggior parte dei siti risulta aggiornata, ma a destare allarme sono decine di migliaia di dispositivi, tra cui router, server di storage, stampanti, firewall hardware, videocamere e altro ancora, che restano vulnerabili alla minaccia.
Non è la Rete frequentata dagli uomini, insomma, a preoccupare, ma la cosiddetta Internet delle cose, di cui si parla spesso come realtà futura, benché si tratti di qualcosa già ben presente tra noi.
Il problema coinvolgerebbe anche alcuni big dell’informatica: dalla nuova generazione di termostati Nest, recentemente acquistata da Google, sebbene l’azienda neghi che il problema possa coinvolgere l’utenza privata, ai router AirPort Extreme e dispositivi di backup Time Capsule di Apple (per i quali è appena uscito un aggiornamento software che risolve il problema), fino ad arrivare a sistemi di controllo industriale Siemens, usati per gestire macchinari pesanti nelle centrali elettriche e impianti di acque reflue.
I ricercatori universitari del Michigan hanno redatto una lista di prodotti a rischio, che porta dritta dritta in molte case. Rientrano nell’elenco, infatti, stampanti HP (poche quelle consumer, secondo l’azienda, che starebbe già sviluppando aggiornamenti necessari), sistemi di videoconferenza Polycom, firewall di diversi produttori, sistemi VMWare, server di archiviazione Synology.
In più, c’è un’aggravante: molti dei dispositivi esposti alla falla, quindi manipolabili da potenziali malintenzionati, possono essere aggiornati solo manualmente, dal proprietario. Una operazione che richiederebbe l’accesso al sistema e la possibilità di installare un nuovo firmware. Inutile dire che, quando fattibile, non è il genere di operazione che un utente medio svolga spontaneamente e con disinvoltura.
La buona notizia è che, secondo Weaver e l’Università del Michigan, molti dispositivi che usano OpenSSL non erano vulnerabili, alcuni perché hanno usato una vecchia versione del software di sicurezza, altri perché la funzionalità OpenSSL problematica non è stata abilitata. “La vulnerabilità funziona solo se i dispositivi accettano messaggi heartbeat”, ha dichiarato al sito americano di Wired Zakir Durumeric, dell’Università del Michigan, “e abbiamo scoperto che molti dispositivi su internet non li accettano”.
Per ora tocca accontentarsi. Poco più di dieci giorni fa, è stato arrestato il primo, giovanissimo, cracker che abbia provato ad approfittare di Heartbleed. Non sarà l’ultimo, probabilmente.
fonte: LaStampa