Hearthbleed, la vulnerabilità scoperta nella diffusa libreria OpenSSL, è un evento estremamente grave. Sebbene gli effetti non siano ancora evidenti, la portata e le implicazioni sono importanti, anche se ancora non del tutto comprese ed analizzate. C’è un aspetto importante su cui riflettere: non siamo ancora pronti per una diffusione di massa dell’Internet of Things. Innanzi tutto va ribadito che Heartbleed è un evento gravissimo. Per tre motivi: 1) OpenSSL è largamente diffuso per gestire sessioni cifrate tra client e server. La maggior parte dei siti internet utilizzano OpenSSL 2) Lo sfruttamento della vulnerabilità è semplice, bastano poche righe di uno script per poterla sfruttare, senza lasciare tracce 3) Il rimedio è complesso, richiede un intervento tecnico ben coordinato, unito ad un intervento procedurale (sostituzione dei certificati e conseguente cambio password di tutti gli utenti).
E’ pur vero che Cloudflare ha dimostrato che non è assolutamente banale rubare chiavi di cifratura SSL sfruttando HeartBleed, ma questo non ne esclude la possibilità. A rendere la cosa più grave è che OpenSSL non è adottato solo sui server Web utilizzati per i siti internet, ma anche in sistemi hardware, home appliance, smartphones, router, access points e persino sistemi SCADA. Il vero segnale negativo non è tanto la presenza di una vulnerabilità. Le vulnerabilità esistono e esisteranno sempre, fanno parte del sistema, dobbiamo imparare a conviverci. Ma è proprio questa convivenza la chiave di volta: Heartbleed ha dimostrato l’importanza, ma anche la debolezza, del coordinamento. Governi e Infrastrutture Critiche stanno comunque procedendo ad applicare le patch, ma cosa sta avvenendo nelle PMI e nelle famiglie? Non lo sappiamo, ma presumiamo poco. In una rete casalinga il numero di device intelligenti è in continuo aumento: router, decoder televisivo, consolle, TV interattiva, sistemi di illuminazione intelligence, antifurto, bilance intelligenti, ecc. Molti di questi device potrebbero richiedere aggiornamenti e non sempre l’utente è nella condizione d poterli fare.
E’ vero che in quest’ambito i fornitori di tecnologia e i gestori di servizio devono ricoprire un ruolo primario (chi può aggiornare il decoder se non l’azienda che offre il servizio), ma che fare quando un antifurto potrebbe essere vulnerabile e l’aggiornamento richiede tempo per essere sviluppato e un installatore che esce per la sua installazione? E’ il ruolo chiave di un CERT nazionale. Informare tutte quelle realtà che per natura e dimensioni non possono avere un governo completo della sicurezza, in primis le PMI e i cittadini (alcune reti domestiche sono più articolate ed estese di una PMI!). E’ per questo che l’avviamento del nostro CERT nazionale è un evento importante che richiede il massimo supporto possibile. E Heartbleed è la dimostrazione perfetta di questa indispensabilità!
