Oggi vi parlo di un bug. Un bug non è altro che un errore, prodotto nella stesura del codice che compromette il programma stesso diminuendone integrità ed efficacia.
In realtà questa non è una svista qualunque, ma riguarda un oggetto usato normalmente; un insieme di strumenti per comunicare in sicurezza.
Avete mai fatto caso, nella parte in alto dove si inseriscono gli indirizzi, a questa cosa?
Bene, il lucchetto verde e la dicitura https indicano che stiamo usando una connessione "sicura", nel senso che i pacchetti dove sono registrati i dati sono criptati e quindi non visibili da un ente terzo che si interpone nella comunicazione. Il bug riguarda uno specifico contenitore, il TLS che viene usato per fornire meccanismi di autenticazione e cifratura.
Ora, non tutti i computer di questo mondo sono stati contaminati, soltanto quelli che utilizzano la libreria OpenSSL che a livello non domestico sono più di due terzi.
Ma cosa c'entra un indirizzo web con un virus?
Ve lo spiego subito...
I siti web sono contenuti dentro server, che sono computer come quelli che abbiamo a casa(magari grandi quanto un appartamento e con delle ventole producenti aria per un esercito) e su di essi si trovano sistemi che li gestiscono, preoccupandosi di tenere gli utenti al riparo da qualunque rischio percorribile. Di conseguenza molte di queste macchine usano librerie di sicurezza per comunicare con gli utenti, ovvero noi, quando visitiamo i loro siti.
Qual'è l'errore commesso?
Diciamo che nella stesura del programma si sono dimenticati di controllare se il server risultava sveglio, ovvero ancora attivo per ricevere comunicazione. E come se voi soffriste di apnea e, in ospedale, si fossero dimenticati di collegarvi alla macchina per verificare il respiro; della serie, posso morire o meno, tanto a voi non frega...
Scusami, ma da quanto è che esiste questo "problema"?
A giudicare i più esperti, da tanto. Almeno dal 2012, dato che NSA usava questa vulnerabilità per controllare mezzo web.
Ok, ora sono nel panico. Cosa devo fare?
Tranquillo, va tutto bene. Sono cose che capitano. Per ora consiglio di leggere questo articolo per verificare quali siti siano stati colpiti e di cambiare le password, dove consigliato.
Per quanto riguarda le distribuzioni di Linux, l'unico consiglio che vi posso dare e di restare in attesa. Sta nascendo un fork, LibreSSL, una versione free che dovrebbe risolvere questo problema; ora il supporto è solo per la versione freeBSD ma si spera che arrivi per tutti i sistemi.
Questo è un tema che mi riguarda direttamente, da appassionata di hacking e sicurezza. Appena ci saranno notizie non esiterò un secondo per farvele leggere.
0 commenti:
Posta un commento