Heartbleed è il nome assegnato a un grave errore individuato in OpenSSL, implementazione open source dei protocolli SSL e TLS utilizzata nella maggior parte dei sistemi operativi unix-like, come GNU/Linux. Il bug potenzialmente permette a malintenzionati di rubare informazioni protette con la cifratura SSL/TLS usata per mettere al sicuro le comunicazioni nel web, nelle mail, nei programmi di instant messaging (IM), reti virtual private network (VPN), ecc.
Un sito dedicato spiega i dettagli del problema che è molto esteso e riguarda le implementazioni in OpenSSL 1.0.1 e 1.0.1f, così come la prerelease 1.0.2 e diverse distribuzioni Linux come Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD e OpenSUSE, distribuite con tali versioni di OpenSSL.
OpenSSL è la libreria crittografia e TSL (transport layer security) open source più diffusa utilizzata per cifrare il traffico su internet. È utilizzata da social network, siti commerciali, aziende governative, siti creati per hobby, appliance di rete e tantissimi altri sistemi, tutti potenzialmente a rischio.
Il bug potrebbe aver consentito a hacker di accedere a grandi quantità di dati sensibili negli ultimi due anni, da quando le implementazioni con la vulnerabilità sono in circolazione. Dallo scorso lunedì sono disponibili le versioni aggiornate di OpenSSL, immuni dal problema, ma i vari siti che la utilizzano dovranno aggiornare i sistemi con l’ultimo update. Per aggiornare i vari sistemi, alcune aziende hanno temporaneamente reso non disponibili i servizi, ad esempio Minecraft e Wunderlist, e varie sono le infrastrutture in aggiornamento. Un sito permette di testare la presenza di vulnerabilità ma il meccanismo usato non è affidabile al 100%.
Gli aggiornamenti da soli ad ogni modo non basteranno: sarà necessario “richiamare” le chiavi di cifratura in circolazione. È probabile infatti che queste siano state intercettate e potrebbero in qualche modo essere sfruttate. Purtroppo non c’è modo di verificare se i siti che hanno usato le versioni di OpenSLL con la vulnerabilità sono stati attaccati o no.
Tra i big delle società che sembrano aver riscontrato il problema ci sono Yahoo e Amazon; Google è al riparo, lo stesso Apple e varie banche che utilizzano differenti implementazioni di SSL/TLS.