Fino a qualche giorno fa il “cuore sanguinante” più famoso era l’indimenticabile “Bleeding Hearth” dell’ancor più immortale Jimi Hendrix. Da ormai tre giorni per gli addetti ai lavori e da poche ore per i comuni mortali, Heartbleed” è lo spettrale identificativo di un bug informatico, ovvero una micidiale vulnerabilità dei sistemi computerizzati che su Internet offrono importanti servizi ad una sterminata platea di utilizzatori.

Parliamo di un problema tecnico il cui vero prezzo viene (o è stato!) effettivamente pagato non tanto dai gestori di milioni e milioni di siti web, quanto dall’infinità di soggetti che consultano pagine ipertestuali o adoperano le più sofisticate opportunità disponibili online.

La questione riguarda il sistema con cui vengono cifrate le informazioni più critiche e riservate che circolano attraversola Rete. Il più popolare e diffuso software, quello che gli esperti riconoscono immediatamente con il nome di OpenSSL, è risultato incapace di proteggere i dati che invece avrebbe dovuto blindare. Per quelli meno esperti diciamo che a fare acqua è la soluzione che normalmente ha fatto stare tranquilli tutti con la semplice apparizione di quel piccolo lucchetto giallo che – sulle pagine di Internet più “delicate” – era simbolo di sicurezza assoluta. In parole povere, da almeno due anni quel rassicurante lucchettino, era…finto.

La versione del software OpenSSL in uso fino ad oggi, o almeno fino a tre giorni fa, era stata distribuita a dicembre del 2011. Il bug è stato reso noto solo ora e a guardar bene (e non occorrono grossi sforzi) il calendario ci si rende conto che sono trascorsi due anni e quattro mesi durante i quali potrebbe esser successa qualunque cosa. Sì, qualunque cosa, ma cosa?

Premesso che chi ha trovato la falla (non tanto chi l’ha divulgata) potrebbe aver tenuto per sé (o per una ristretta cerchia di fedelissimi) un così prezioso segreto per tutto questo tempo e averne approfittato con chissà quali obiettivi e, ahinoi, chissà quali risultati, per capire cosa sia potuto accadere è bene affrontare il tema in maniera metodica.

La grana di cui ci stiamo occupando ha una sua etichetta ufficiale e nelle Common Vulnerabilities and Exposures (ossia il classificatore Standard for Information Security Vulnerability Names gestito da MITRE) è indicata come CVE-2014-0160.

Il nome di battaglia del bug, invece, fa riferimento (ma è sottigliezza da “smanettoni”) ad un “battito di cuore” nel protocollo di sicurezza del trasporto delle informazioni: fermiamoci qui, accontentandoci di sapere che la foratura della protezione fa davvero sanguinare l’immaginario pulsore cardiaco dei sistemi informatici. L’aggressore, quasi fosse Vlad Drakul o un altro meno noto vampiro, può succhiarsi le informazioni che corrono tra il server e il computer dell’utente.

Le circostanze che maggiormente inquietano sono la facilità nell’addentare la giugulare delle vittime, l’incredibile durata della falla e il fatto che non resta traccia dell’avvenuto assalto da parte dei malandrini di turno.

Per colpire, in questi mesi, è stato sufficiente utilizzare uno “script”, vale a dire una manciata di istruzioni compilate con l’efficacissimo linguaggio di programmazione PERL.

Immaginando che la suspense in proposito sia giunta a debito punto di cottura, è arrivato il momento di elencare i bersagli contro i quali hacker et similia hanno certo puntato le loro armi.Gli stessi “scopritori” del bug individuano quattro categorie di problemi: le chiavi primarie, quelle secondarie, i contenuti protetti e gli immancabili “danni collaterali”.

Le chiavi primarie sono definite “i gioielli della corona” perché sono i cardini della protezione che dovrebbe essere garantita dai fornitori di servizi. Entrare in possesso di questi codici consente di decifrare tutto il traffico di dati (passato, presente e futuro) intercorrente tra utenti e servizi online “sicuri”.

Le chiavi secondarie sono le credenziali dell’utente, ovvero l’account (o identificativo) e la password che sono presentate – ad esempio – da chi si collega con la propria banca per fare un bonifico o altre operazioni finanziarie.

Facile comprendere cosa possa rientrare nella dizione “contenuto protetto”: informazioni personali, comunicazioni private come mail o messaggistica istantanea, documenti riservati e qualunque altro oggetto meritevole di rimanere segreto.

Tra i “collaterali”, invece, ci sono un mucchio di dati tecnici, poco interessanti per i “normali” esseri umani ma capaci di ingolosire chi invece ha adeguate competenze informatiche.

Ma chi ha scoperto questo traumatico impiccio? Tre ingegneri della sicurezza del team Codenomicon (identificati come Riku, Antti e Matti) e un esperto di Google Security. Quest’ultimo, Neel Mehta, ha lanciato l’allarme avvisando gli sviluppatori del software OpenSSL che hanno immediatamente sfornato la “patch” per mettere rapidamente una toppa alla fastidiosa rogna.

Inutile preoccuparsi quindi. I fornitori di servizi stanno rammendando lo strappo e per il passato, purtroppo, vale il ritrito refrain “chi ha dato ha dato, chi ha avuto ha avuto…”.