Categorie
Internet News Sicurezza

OpenSSL e il bug Heartbleed: il punto della situazione

Nelle ultime 24 ore  buona parte dei riflettori della rete sono stati puntati su OpenSSL e il famigerato bug Heartbleed – dall’estensione “heartbeat” che permette ai servizi di tenere aperta una connessione sicura per un determinato periodo di tempo. Il “cuore sanguinante” è divenuto il simbolo della vulnerabilità scoperta da una compagnia di sicurezza indipendente, la Codenomicon, in collaborazione con un ricercatore di Google, Neel Metha. Quali sono i pericoli della falla di sicurezza? Vediamo di fare un breve punto della situazione nell’articolo di oggi.

Protocolli di sicurezza

openssl bugOpenSSL è un software di sicurezza che si occupa di criptare certi dati sensibili – rendendoli quindi non intercettabili da malintenzionati – e quindi proteggerli fino al loro arrivo nel server di destinazione.  L’utilizzo dei protocolli SSL e TTL è ormai una prassi nel web, soprattutto per quanto riguarda servizi o più in generale ambiti in cui è richiesto un alto livello di sicurezza: siti di e-commerce, banche multicanale ma anche registrazioni a social network, servizi di messaggistica istantanea e email etc. Il  lucchetto che appare in alto a destra nei nostri browser è opera dei protocolli appena citati e sta a certificare che, una volta inviati determinati dati, questi non potranno essere intercettati/letti da terze parti in quanto criptati e visionabili solo dal destinatario delle informazioni (in questo caso il server che ha la relativa chiave di decifrazione).

Protocolli di (in)sicurezza?

Con il grave bug individuato in una delle librerie OpenSSL, tutte le misure cautelative adottate dai protocolli vengono meno. Heartbleed consente infatti ai malintenzionati di leggere la memoria dei sistemi protetti dalla versione buggata di OpenSSL (1.0.1f) e di carpire le informazioni in esso presenti (dalle password personali fino alle chiavi di decriptazione utilizzate dagli stessi server) o di intercettare i dati in transito (email, messaggistica etc). Si tratta quindi di un problema serio e da non sottovalutare. Anche perchè secondo le stime quasi il 66% dei siti internet potrebbe essere interessato da questa vulnerabilità: OpenSSL è infatti è la soluzione di cifratura predefinita di Apache e nginx.

Altre fonti, come ad esempio il Wall Street Journal mediante il lavoro d’analisi del ricercatore di sicurezza Ivan Ristic, riferivano due giorni fa che il problema riguardasse invece il 30% circa dei server. 

Quali siti sono “insicuri”, soluzioni e conclusione

La versione OpenSSL afflitta da Heartbleed è la 1.0.1f  rilasciata circa due anni fa. In seguito alla scoperta di Codenomicon è stata reso disponibile un security update (1.0.1g) pensato proprio per “mettere una pezza” al problema. L’unica soluzione attuabile è quindi quella di applicare la patch risolutiva e diffondere efficacemente la notizia in modo da diminuire il numero di soggetti attaccabili.

Per quanto riguarda i nomi altisonanti, “in prima battuta” sono stati confermati come vulnerabili, salvo update dell’ultim’ora, il sito web dell’FBI (!), Yahoo (anche se buona parte dei server sono stati aggiornati ieri), il noto hoster di immagini IMGUR, OKCupid ed Eventbrite, Amazon (alcune parti della infrastruttura sono state patchate ma i lavori sono ancora in corso). Sembra invece che Google, Twitter e Facebook non siano stati interessati dal problema.In ogni caso si consiglia di modificare le vecchie password.
I  lettori più curiosi possono anche consultare la lista che il sito Github sta attualmente stilando.

Il bug è stato a disposizione degli hacker per quasi due anni e una serie non stimabile di furti potrebbe essere già stata eseguita senza lasciare alcuna traccia. I più maliziosi ipotizzano che questa vulnerabilità sia stata utilizzata anche dai servizi segreti statunitensi, come l’NSA, per l’acquisizione illegale di informazioni ma si tratta ovviamente solo di congetture e supposizioni.

7 risposte su “OpenSSL e il bug Heartbleed: il punto della situazione”

[…] Non è passato molto tempo da quando il web è stato preso in parte dal panico in seguito alla scoperta del bug Heartbleed di OpenSSL. Torniamo a parlare della (forse) falla più grave degli ultimi anni, che ricordiamo ha reso vulnerabile dal 30 al 66% dei siti internet, perchè sembra che alcune supposizioni circolate nei giorni della “pandemia” siano state rilanciate dal noto sito internet Bloomberg: secondo “alcune persone informate sulla questione” l’NSA avrebbe sfruttato a proprio vantaggio il bug negli ultimi due anni. […]

[…] Il bug Heartbleed di OpenSSL, una libreria ampiamente utilizzata nella rete per proteggere i dati sensibili scambiati tra server e client mediante algoritmi di crittografia, sarebbe stato fino al giorno del “reveal” pubblico (7 Aprile 2014) un perfetto sconosciuto: “ non abbiamo individuato alcuna [traccia] di attacchi […] che utilizzassero la vulnerabilità prima [del 7 Aprile 2014]. Sono stati invece individuati circa 700 tentativi di sfruttamento della vulnerabilità […] [a meno di] 24 ore dall’annuncio” si legge nel documento visionabile online. […]

Rispondi a OpenSSL, scoperte nuove vulnerabilità - Hosting Talk Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.