A rischio 'autenticità' siti e dispositivi

Heartbleed, la vulnerabilità del codice di crittografia usato per proteggere dati sensibili online, fa ancora paura. La società di sicurezza CloudFlare - come riporta il Washington Post - ha provato che sfruttando la falla è possibile rubare i certificati di sicurezza che stabiliscono l'autenticità di un sito. Hacker potrebbero essere in grado di 'clonare' un sito ingannando gli utenti e spingendoli all'immissione di dati senza alcuna segnalazione di pericolo da parte dei browser. E potrebbe ammontare a 50 milioni la stima dei dispositivi vulnerabili al baco: sono quelli con una particolare versione del sistema operativo Android, 4.1.1, rilasciata nel 2012. Lo riferisce il Guardian, secondo dati della società Chitika.

CloudFlare ha lanciato una sorta di gara sfidando hacker a rubare - sfruttando Heartbleed - questi dati 'chiave' dei siti web, presumendo che fosse troppo difficile, ai limiti del possibile, farlo. E invece ben quattro partecipanti sono riusciti nell'impresa. Con operazioni lunghe e molto laboriose, ma ce l'hanno fatta. Questo 'esperimento' ha dimostrato che è possibile replicare alla perfezione siti web legittimi, con tanto di certificato di 'garanzia', inducendo ignari internauti a comunicare i propri dati senza 'avvertimenti' dai browser, i programmi per navigare online che solitamente verificano l'attendibilità di un sito a partire da questi certificati.

A questo punto cambiare le password non proteggerà gli internauti se queste vengono involontariamente consegnate a criminali informatici che fingono di essere il loro legittimo provider di posta elettronica. Anche a questo ulteriore danno c'è un rimedio, ovvero revocare gli attuali certificati e istituirne di nuovi, ma secondo gli esperti si tratta di un'operazione colossale che potrebbe rallentare in modo vistoso il web in cambio di maggiore sicurezza.