SICUREZZA

Come Hearbleed mette a rischio l’Internet delle Cose

Hearthbleed ha colpito anche sistemi di domotica, home entertainment e networking, dove intervenire è più difficile. Importante il ruolo dei CERT

Pubblicato il 15 Mag 2014

Andrea Rigoni

Intellium

heartbleed-140410144744

Hearthbleed, la vulnerabilità scoperta nella diffusa libreria OpenSSL, è un evento estremamente grave. Sebbene gli effetti non siano ancora evidenti, la portata e le implicazioni sono importanti, anche se ancora non del tutto comprese ed analizzate. C’è un aspetto importante su cui riflettere: non siamo ancora pronti per una diffusione di massa dell’Internet of Things. Innanzi tutto va ribadito che Heartbleed è un evento gravissimo. Per tre motivi: 1) OpenSSL è largamente diffuso per gestire sessioni cifrate tra client e server. La maggior parte dei siti internet utilizzano OpenSSL 2) Lo sfruttamento della vulnerabilità è semplice, bastano poche righe di uno script per poterla sfruttare, senza lasciare tracce 3) Il rimedio è complesso, richiede un intervento tecnico ben coordinato, unito ad un intervento procedurale (sostituzione dei certificati e conseguente cambio password di tutti gli utenti).

E’ pur vero che Cloudflare ha dimostrato che non è assolutamente banale rubare chiavi di cifratura SSL sfruttando HeartBleed, ma questo non ne esclude la possibilità. A rendere la cosa più grave è che OpenSSL non è adottato solo sui server Web utilizzati per i siti internet, ma anche in sistemi hardware, home appliance, smartphones, router, access points e persino sistemi SCADA. Il vero segnale negativo non è tanto la presenza di una vulnerabilità. Le vulnerabilità esistono e esisteranno sempre, fanno parte del sistema, dobbiamo imparare a conviverci. Ma è proprio questa convivenza la chiave di volta: Heartbleed ha dimostrato l’importanza, ma anche la debolezza, del coordinamento. Governi e Infrastrutture Critiche stanno comunque procedendo ad applicare le patch, ma cosa sta avvenendo nelle PMI e nelle famiglie? Non lo sappiamo, ma presumiamo poco. In una rete casalinga il numero di device intelligenti è in continuo aumento: router, decoder televisivo, consolle, TV interattiva, sistemi di illuminazione intelligence, antifurto, bilance intelligenti, ecc. Molti di questi device potrebbero richiedere aggiornamenti e non sempre l’utente è nella condizione d poterli fare.

E’ vero che in quest’ambito i fornitori di tecnologia e i gestori di servizio devono ricoprire un ruolo primario (chi può aggiornare il decoder se non l’azienda che offre il servizio), ma che fare quando un antifurto potrebbe essere vulnerabile e l’aggiornamento richiede tempo per essere sviluppato e un installatore che esce per la sua installazione? E’ il ruolo chiave di un CERT nazionale. Informare tutte quelle realtà che per natura e dimensioni non possono avere un governo completo della sicurezza, in primis le PMI e i cittadini (alcune reti domestiche sono più articolate ed estese di una PMI!). E’ per questo che l’avviamento del nostro CERT nazionale è un evento importante che richiede il massimo supporto possibile. E Heartbleed è la dimostrazione perfetta di questa indispensabilità!

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati