Heartbleed è il più pericoloso bug di OpenSSL che sia mai stato scoperto: le ultime indiscrezioni parlano del coinvolgimento di Barack Obama, che avrebbe autorizzato la NSA a sfruttarlo per accedere ai dati di milioni d’utenti del web in tutto il mondo — per ordire quello che, grazie alle dichiarazioni di Edward Snowden, è stato definito Datagate. La realtà potrebbe essere molto lontana da questa sorta di teoria del complotto, perché Heartbleed è “soltanto” un errore umano nell’aggiornamento della libreria commesso due anni fa.

Com’è possibile che una falla del genere passi inosservata per tanto tempo? È soprattutto un problema di dimensioni del codice, perché OpenSSL – usato sulla maggioranza dei server – è un progetto collaborativo, mantenuto da volontari, che negli anni è diventato troppo complesso da gestire. Tant’è che OpenSSL Software Foundation ha chiesto aiuto ai governi e alle imprese per assumere sei o più sviluppatori che s’occupino di chiudere i bug come Heartbleed. Ma com’è stato possibile identificare il problema e perché proprio adesso?

Sappiamo già che Heartbleed è stato trovato da Neel Mehta di Google e Codenomicon, che collabora con Mountain View nella realizzazione di soluzioni per la sicurezza informatica. Se l’apertura della falla è stata una svista, la sua scoperta non ha nulla di casuale: un debug di routine per Chrome e SafeGuard ha permesso che due gruppi diversi di ricercatori scoprissero il bug in marzo. Ciò mi riporta a sostenere l’importanza del debugging – dalle app ai siti web – che avrebbe potuto contenere subito i problemi dovuti a Heartbleed.

photo credit: MsSaraKelly via photopin cc