[AGGIORNATO] HeartBleed, onestamente mi ha stancato! Considerazioni personali…

OpenSSL HeartBeat

, mi sono stancato di leggere idiozie su l’importante bug HeartBleed che va esclusivamente a colpire il morale degli sviluppatori e il sacrificio che sta dietro al mondo Open Source! Quotidiani che affermano “Allarme per il virus scassinatore, in pericolo milioni di siti internet” dovrebbero solo vergognarsi di mandare in stampa certe stupidaggini, se giustamente volete scrivere un articolo sul tema interpellate un ricercatore o un docente ma evitate di farvi ridere dietro dalla comunità ma soprattutto di mettere fango su un gruppo di sviluppatori che lavorano GRATIS!

Esatto, GRATIS! OpenSSL è un’implementazione open source dei protocolli SSL e TLS ed oltre ad essere Open è anche Freeware e il team principale è composto da quattro persone che per pura volontà personale scrivono questo programma usato da oltre il 60% dei siti web che hanno implementato il protocollo SSL. Sì è proprio così loro hanno deciso di DONARE un software meraviglioso per proteggere i nostri dati e grandi multinazionali come Facebook, Google, ecc ecc le usano per ricavarci DENARO ma appena viene rilevato un bug tutti se ne lavano le mani e puntano il dito verso quattro volenterosi ragazzi!

Io e tre amici decidiamo di fare un gesto importante, partiamo per una missione volontaria nel paese X dove è in corso una sanguinosa guerra e il nostro scopo è quello di salvare più vite umane possibili. Ma purtroppo una mina anticarro colpisce un pullman pieno di superstiti e tutti muoiono! Cosa avete pensato?! “Bhe che bravi ragazzi, hanno impiegato tutto il loro tempo e le loro forze ma purtroppo il male ha prevalso sulla loro umile azione.”!

Capite il paragone?! In questa vicenda si è ribaltato TUTTO, il “male” non è stato neanche considerato ma si è solo pensato ad incolpare un team che ha agito fin dall’inizio per uno scopo ben preciso: DIFENDERE I VOSTRI DATI!

Le persone del Team lavorano per potersi mantenere, per pagare il mutuo e magari anche qualche regalino e nel tempo libero sviluppano e implementano OpenSSL. Perché le grandi multinazionali che usano OpenSSL non hanno mai contribuito al progetto? Nel ventunesimo secolo finalmente si sta scoprendo l’OpenSource, a livello governativo viene imposto l’uso di software Open e Free piuttosto che software a pagamento, a livello didattico ugual modo…ma qualcuno ci pensa al sostentamento di tali progetti?! C’è sempre dietro un essere umano ad un programma Open e Free che ha sicuramente bisogno di mangiare! Oltre a divulgare l’Open dobbiamo imparare a diffondere l’idea che l’Open è un bellissimo regalo ma va corrisposto!

OpenSSL è un esempio ma ne potrei trovare tantissimi, basta guardare su GitHub le repository più in voga o pensare semplicemente al vostro sistema operativo Linux…Mint…Ubuntu…e se pensiamo ai sistemi Server? CentOS, RedHat…certo sono grossi colossi che grazie all’assistenza ai clienti possono permettersi di pagare gli sviluppatori ma comunque ci offrono un OTTIMO prodotto gratuito e una donazione gli sarebbe dovuta!

Ma ora vediamo realmente di cosa dobbiamo preoccuparci? Tutte le nostre password, eMail, carte di credito sono state realmente rubate dai siti internet che usano OpenSSL! NO! Per tutti i siti Internet che non cifrano le comunicazioni lato client è possibile che durante la comunicazione client/server i tuoi dati siano stati rubati.

Essenzialmente la prima cosa da fare è di accertarsi che il sito internet che usate abbia aggiornato OpenSSL,  successivamente cambiate la vostra password, eseguite un logout dal sito ed effettuate un nuovo accesso, “distruggendo” i vecchi cookie precedentemente creati! Eventualmente potete anche cambiare la vostra password, ma le password quasi sempre vengono cifrate prima di essere trasmesse/elaborate e se venissero lette dalla memoria sfruttando l’Exploit difficilmente lo sarebbero in chiaro.

Impariamo ad aiutare chi ci offre gratuitamente qualcosa!