Dopo il Datagate, un altro caso fa traballare Internet. Il danno è abbastanza grave e, in queste ore, il mondo del Web, e le società che vi sono al suo interno, stanno mobilitando squadre di programmatori per mettere al sicuro password, ID e, in generale, i dati sensibili, e non, di tutti gli utenti. Anche questa volta chi ci rimette sono sempre gli utenti finali, sicuri della sicurezza e delle precauzioni prese dalle aziende informatiche, che però, anche questa volta, non sono riuscite a fermare ‘il disastro‘. Infatti, ora, molti utenti dovranno modificare le proprie password relative agli account, operazione che se non verrà effettuata, in breve tempo, potrebbe creare gravi perdite per i dati di quest’ultimi.

Il problema che ha scaturito il tutto è partito dal sistema con cui vengono cifrate le informazioni più critiche e riservate che circolano attraversola Rete. Il più popolare e diffuso software, quello che gli esperti riconoscono immediatamente con il nome di OpenSSL, riconoscibile dalla sigla ‘https‘ prima dell’indirizzo del sito in cui accedete, risultato incapace di proteggere i dati che invece avrebbe dovuto blindare. In pratica è un lucchetto virtuale che permette maggiore privacy e sicurezza, rispetto a siti che non lo montano. Viene di solito applicato a siti come Facebook, Amazon e Dropbox, quindi con enormi quantità di dati al loro interno e che, spesso, presentano anche dei sistemi di pagamento che vanno protetti al meglio, lontano da occhi indiscreti.

La versione del software OpenSSL in uso fino ad oggi, o almeno fino a tre giorni fa, era stata distribuita a dicembre del 2011. Il fatto più interessante e, quasi, ironico è che il bug esiste da quando questo sistema è in rete, quindi da quando è stato montato da tutti i siti e i network del Web. Questo significa che, essendocene accorti solo ora, i dati e le informazioni più private rubate potrebbero essere molto più di quello che ci aspettiamo. In pratica una bella fregatura, non solo a noi utenti, ma anche ai siti stessi, che si ritrovano a doversi scusare con tutti i loro consumatori e a mobilitarsi in fretta e furia per cercare rimedio a questo buco.

Il problema di cui vi stiamo parlando ha una sua etichetta ufficiale e nelle Common Vulnerabilities and Exposures, ossia il classificatore Standard for Information Security Vulnerability Names gestito da MITRE, è indicata come CVE-2014-0160. Ciò che rende questo strano caso ancora più inquietante è la facilità nell’addentare la giugulare delle vittime, l’incredibile durata della falla e il fatto che non resta traccia dell’avvenuto assalto da parte dei malandrini di turno. Insomma, aziende come Google, Yahoo, Facebook e Amazon come hanno fatto a non capire che questo protocollo poteva creargli danni molto gravi in futuro?

Un’altra domanda che sorge spontanea è basata anche su ciò che è accaduto proprio nel caso Datagate, che ogni mese lascia dietro di se nuovi scoop: e se le società informatiche lo avessero montato sui propri siti sapendo del bug? Questa domanda potrebbe esser posta in due contesti differenti. Il primo è che le piattaforme abbiano aperto i loro server ad hacker e agenzie di spionaggio, cosa che non ci meraviglierebbe più di tanto; il secondo è che non abbiano dato importanza al bug che vi si presentava e, comunque, hanno accettato di utilizzarlo. In entrambi i casi la situazione sarebbe molto grave, perché se per il primo caso si parla di puro spionaggio, per il secondo vediamo anche pochi controlli e un pizzico di incompetenza, soprattutto nei confronti degli utenti che immettono in queste piattaforme la loro vita lavorativa e privata.

Potremo parlare dei dettagli tecnici del caso per righe e righe di articoli, ma il fatto che importa alla maggior parte delle persone che leggono è proprio che, purtroppo, non possiamo sentirci sicuri quando navighiamo in rete.