Heartbleed Checker: come scoprire se un sito ha il difetto OpenSSL

Sono passati diversi giorni dalla pubblicazione del bug Heartbleed, che affligge alcune versioni del protocollo OpenSSL, utilizzato per cifrare le comunicazioni che entrano ed escono dai siti web. Dopo smentite e varie prese di posizione (tra cui Google che dice di aver tappato la falla sui propri siti ), non sono poche le persone diventate vittima del furto di nomi utente e password, le cui caselle di posta potrebbero essere state clonate e pronte e truffare amici e parenti. Per evitare che la falla si allarghi maggiormente e causi ulteriori danni, McAfee ha rilasciato uno strumento per controllare se i siti che si visitano maggiormente sono vulnerabili al big Heartbleed, navigando con il browser Firefox di Mozilla o Chrome di Google.

Il primo “checker” rilasciato oggi è quello di McAfee, azienda specializzata nella sicurezza informatica parte di Intel Security. Sulla piattaforma McAfee True Intelligence Feed , è possibile inserire un indirizzo internet e verificare la vulnerabilità alla falla CVE-2014-0160, quella inerente Heartbleed. Una volta inserito il sito da controllare è possibile ottenere tre risposte diverse: “vulnerabilità non trovata”, “vulnerabilità trovata” o “non vulnerabile”, se si trova che la versione di protocollo SSL installata è già aggiornata all’ultima versione rilasciata, o comunque non passibile di essere violata.

Per Firefox

Sempre nella giornata di oggi uno sviluppatore indipendente ha rilasciato uno strumento che permette di controllare in automatico se un sito soffre della fragilità Heartbleed. Tom Brennan, fondatore della ProactiveRISK, ha realizzato un tool che, una volta installato, è direttamente raggiungibile dal browser Firefox di Mozilla, all’interno della barra degli add-on dove sono presento tutte le funzioni aggiuntive che si possono installare sul browser. Con il plugin realizzato da Brennan è possibile, utilizzando Firefox, verificare in tempo reale se un sito soffre della pericolosa falla scoperta nei giorni scorsi. Lo strumento utilizza i classici colori del semaforo per indicare lo stato di un sito web: pallino verde se non è vulnerabile, rosso se lo è, giallo per siti che potrebbero essere violati solo in parte (magari per specifiche sezioni dove sono conservate le informazioni dei navigatori).

Per Chrome

Simile al plugin per Firefox è il Chromebleed Checker , un’aggiunta da utilizzare con il browser Chrome sviluppata da Jamie Hoyle.  Anche in questo caso l’obiettivo è avvertire l’utente sulla sicurezza del sito che sta visitando. “Molti siti che dicono di essere sicuri e che utilizzano il prefisso HTTPS (quello con il lucchetto ndr.) usano il protocollo OpenSSL – ha detto Hoyle – con la scoperta della falla Heartbleed che interessa il protocollo OpenSSL, centinaia di migliaia di server sono a rischio”.

Android

La situazione non è migliore se si parla di smartphone. Secondo gli esperti , degli oltre 900 milioni di dispositivi Android (sia smartphone che tablet) venduti al mondo, circa il 34% sarebbe a rischio Heartbleed. Si tratterebbe dei terminali che montano la versione 4.1.1 di Android, realizzata nel 2012 e ampiamente superata da versioni successive. Il problema è che milioni di prodotti Android marchiati, tra l’altro, Samsung e HTC, hanno ancora quella versione di sistema operativo, suscettibile di soffrire il bug dell’OpenSSL. Non è una novità, infatti, che il protocollo OpenSSL sia utilizzato per lo sviluppo su piattaforma Android . Una soluzione? Per ora non c’è, ma c’è da scommetterci che Google lavorerà con le case di produzione per rilasciarla al più presto.