Categorie
News Sicurezza

Heartbleed, prima dell’annuncio pubblico il bug era un “perfetto sconosciuto”

E’ in sintesi questa la conclusione alla quale alcuni ricercatori universitari statunitensi sono giunti al termine del loro ultimo studio (paper in inglese liberamente consultabile).

Il bug Heartbleed di OpenSSL, una libreria ampiamente utilizzata nella rete per proteggere i dati sensibili scambiati tra server e client mediante algoritmi di crittografia, sarebbe stato fino al giorno del “reveal” pubblico (7 Aprile 2014) un perfetto sconosciuto: “ non abbiamo individuato alcuna [traccia] di attacchi […] che utilizzassero la vulnerabilità prima [del 7 Aprile 2014]. Sono stati invece individuati circa 700 tentativi di sfruttamento della vulnerabilità […] [a meno di] 24 ore dall’annuncio” si legge nel documento visionabile online.

Il lavoro di analisi dei dati (relativi al traffico online nei mesi precedenti ad Aprile 2014), è stato effettuato grazie alle informazioni acquisite dal Lawrence Berkeley National Laboratory, dal National Energy Research Scientific Computing Center e da un’esca (in gergo honeypot) collocata nel network EC2 di Amazon.

Heartbleed: una strategia di difesa con pro e contro

Tra Novembre 2013 ed Aprile 2014, “gli scanner” non avrebbero individuato alcun tentativo di sfruttare la falla OpenSSL: i ricercatori hanno comunque messo le mani avanti precisando che “potrebbero essere avvenuti [altri tentativi] prima della [finestra temporale presa in considerazione]”.

Il primo attacco ufficiale individuato dai ricercatori si è verificato 21 ore e 29 minuti dopo l’annuncio pubblico di Heartbleed. Nei giorni successivi, il clamore mediatico suscitato dalla vicenda contribuì a velocizzare il processo di aggiornamento della libreria (1.0.1f > 1.01g) da parte dei siti vulnerabili (100% dei siti presenti nella top 500 e l’89% della “top 1 million sites” – entrambe stilate da Alexa).

Gli annunci di portata globale hanno quindi dei pro e  dei contro: secondo i ricercatori “occorrerà altro lavoro per capire quali fattori influenzino l’efficacia delle “allerte di massa” e quali siano [le modalità operative più adatte da impiegare]”.

 

4 risposte su “Heartbleed, prima dell’annuncio pubblico il bug era un “perfetto sconosciuto””

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.