Successivo

Security

I piedi d’argilla della Web economy

| 12 Giugno 2014

Servizi Web Sicurezza

All’inizio di aprile Internet ha tremato per la scoperta di una vulnerabilità  nella libreria OpenSSL, usata da molti sviluppatori per […]

heartbleedLecterAll’inizio di aprile Internet ha tremato per la scoperta di una vulnerabilità  nella libreria OpenSSL, usata da molti sviluppatori per implementare un protocollo alla base della sicurezza di numerosi servizi: Web, email, instant messaging, VoIP e tanti altri. La vulnerabilità , denominata Heartbleed, è stata riscontrata sul 17% dei server Web certificati da autorità  indipendenti: sfruttandola, un attaccante poteva recuperare cookie di sessione, comunicazioni tra client e server, dati di login e – in alcune circostanze – perfino la chiave privata utilizzata dal server per cifrare le connessioni.

Heartbleed è stato definito come il peggiore disastro della storia di Internet, probabilmente a ragione; a marzo 2012 il codice vulnerabile era entrato nella configurazione di default di OpenSSL, e per oltre due anni una consistente parte delle comunicazioni “sicure” su Internet in realtà  non lo è stata affatto. La scoperta di questa falla deve far riflettere sull’organizzazione attuale del modello open source. La OpenSSL Software Foundation riceve una cifra risibile in donazioni (circa 2.000 dollari l’anno), nonostante il suo lavoro venga sfruttato da molte delle più grandi aziende esistenti: solo Facebook, che lo utilizza in tutti i suoi server, ha registrato profitti per 642 milioni di dollari nel primo trimestre dell’anno. Ma non è solo un problema di finanziamenti: un progetto open source si basa sul contributo della comunità , che spesso è molto più ristretta di quanto si possa pensare e si dibatte in difficoltà  di ordine pratico che la costringono a seguire un modello di sviluppo tutt’altro che ideale.

Heartbleed ha mostrato al mondo come l’enorme economia nata dallo sviluppo dei servizi Internet abbia fondamenta assai meno solide di quanto si credesse. Per questo motivo, molte delle aziende più importanti del settore (Google, Microsoft, Intel, Amazon, Cisco e Ibm, solo per citarne alcune) alla fine di aprile hanno lanciato la Core Infrastructure Initiative, un progetto coordinato dalla Linux Foundation, con l’obiettivo di raccogliere nel corso di tre anni alcuni milioni di dollari (3,9 quelli già  ottenuti) da destinare ai progetti cardine che reggono l’ecosistema dei servizi Web.
Dario Orlandi