L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Lo so, lo so: dico sempre che gli aggiornamenti software vanno fatti il più presto possibile, perché i criminali informatici confezionano in fretta attacchi su misura per chi non si aggiorna. Aggiornarsi prontamente è la cosa giusta da fare, ma non durante una partita di basket. Specialmente se l’aggiornamento riguarda il computer che deve segnare il punteggio ufficiale.

Il fattaccio, racconta la Frankfurter Allgemeine, è successo il 13 marzo scorso, un’ora e mezza prima della partita fra Niners Chemnitz e Paderborn Baskets, quando la squadra ospitante (il Paderborn Baskets) ha collegato il proprio computer al tabellone segnapunti. Un’oretta più tardi il computer è andato in crash ed è stato necessario riavviarlo, ma a quel punto ha iniziato a scaricare automaticamente gli aggiornamenti e non c’è stato verso d’interromperlo.

Lo scaricamento e l’installazione degli aggiornamenti sono andati avanti per ben 17 minuti, col risultato che è stato necessario ritardare di 25 minuti l’inizio della partita. L’incontro si è concluso con la vittoria della squadra di Paderborn, ma quella di Chemnitz ha fatto notare che il ritardo (superiore ai 15 minuti consentiti dal regolamento tedesco) comportava una penalità di classifica per la squadra ospitante, per cui il Paderborn Baskets è stato retrocesso dalla Zweite Bundesliga al campionato ProB. Il manager della squadra retrocessa, Patrick Seidel, ha dichiarato che si appellerà contro la decisione della Bundesliga. Tutto per colpa di un aggiornamento di Windows.

Correzione (10:30): La versione iniziale di questo articolo attribuiva a Seidel l’intenzione di sostituire il laptop Windows della squadra con un portatile della Apple, ma si trattava di un errore nella traduzione di Ars Technica, che ho maldestramente omesso di verificare.

Buone notizie sul fronte della sicurezza: è stata chiusa la falla FREAK, segnalata la settimana scorsa, che permetteva agli aggressori di sabotare uno dei meccanismi di base della sicurezza su Internet, ossia la cifratura HTTPS.

In pratica, la regola d’oro “lucchetto chiuso, questo sito lo uso” veniva scavalcata e un sito fraudolento poteva imitare perfettamente un sito autentico, compreso appunto il lucchetto chiuso che normalmente garantisce l’autenticità e la sicurezza del sito.

Apple ha aggiornato OS X per risolvere FREAK: sono coperte le ultime tre versioni del sistema operativo per computer (Mountain Lion, Mavericks e Yosemite). Per iPhone, iPad e iPod touch, invece, iOS è stato aggiornato alla versione 8.2, e anche l’Apple TV ha a disposizione un aggiornamento, che lo porta alla versione 7.1.

Microsoft ha rilasciato gli aggiornamenti MS15-031, che risolvono la falla per tutte le versioni di Windows per le quali viene ancora offerto il supporto tecnico. Se siete ancora fermi a Windows XP, niente da fare: vi serve almeno Windows 7 o Vista.

Tutti gli aggiornamenti dovrebbero attivarsi automaticamente, facendo comparire un invito a scaricarli. Seguite quest’invito senza indugio e poi controllate se siete ancora vulnerabili visitando il sito Freakattack.com.

Aggiornamenti obbligatori per tutti: pochi giorni fa è stata annunciata una falla di sicurezza importante su un aspetto essenziale come la protezione HTTPS del traffico di Internet. Il bello (si fa per dire) è che la falla è aperta da circa dieci anni.

La falla, denominata FREAK (acronimo un po’ forzato di Factoring Attack on RSA-EXPORT Keys), sta nel fatto che un aggressore può forzare un dispositivo o software vulnerabile ad abbassare il proprio livello di cifratura, riducendolo a una chiave di 512 bit. Il traffico cifrato con questa chiave debole viene poi analizzato usando servizi online di calcolo, come quelli di Amazon, e rivela la chiave privata di cifratura del sito visitato: a questo punto l’aggressore può spacciarsi perfettamente per il sito vero, imitandone anche la protezione HTTPS (il famoso lucchetto chiuso), e può rubare o modificare i dati riservati scambiati da tutti i visitatori con il sito in questione: password, transazioni bancarie, messaggi, tutto. La decifrazione della chiave di un singolo sito costa soltanto un centinaio di dollari su servizi di calcolo distribuito come quelli offerti da Amazon.

Inizialmente sembrava che la falla riguardasse soltanto i dispositivi Android, gli iPhone, i computer della Apple e gli smartphone di Blackberry, ma poi Microsoft ha annunciato che anche tutte le versioni correnti di Windows sono vulnerabili. Gli esperti hanno inoltre rilevato che al momento circa il 36% dei siti Web è affetto da questa falla. Fra i nomi di spicco ci sono AmericanExpress.com, Groupon.com e Bloomberg.com. Google e Facebook non sono vulnerabili.

Per correggere questa falla è indispensabile aggiornarsi: Google ha già reso disponibile la versione aggiornata di Chrome per Mac e Firefox non è vulnerabile; gli aggiornamenti per OS X e iOS e per Windows verranno distribuiti prossimamente.

Per sapere se i vostri browser sono vulnerabili, usateli per visitare il sito Freakattack.com (se compare un avviso su sfondo rosso, siete vunerabili); per sapere se un sito è attaccabile, basta immetterne il nome in questa pagina di Keycdn.com. Un elenco aggiornato dei principali siti che risultano affetti da questa falla è presso https://freakattack.com/#alexa; l’elenco completo include centinaia di siti svizzeri e italiani.

Ironicamente, questa falla è stata resa possibile dalle richieste governative (in questo caso statunitensi) di indebolire volutamente la cifratura vendibile all’estero, allo scopo di impedire ai paesi rivali, ai terroristi e ai malviventi di comunicare in modo non intercettabile. Visto che richieste analoghe vengono fatte tuttora da alcuni governi, come quello britannico, si spera che questa notizia serva da lezione per non ripetere gli errori del passato.