Num. Verde 800 11 28 25

Bug Heartbleed

Bug Heartbleed: conoscere per prevenire

La sicurezza informatica non esiste, la paranoia è la cosa che più ci si avvicina.”

 
Da giorni non si fa altro che parlare del Bug Heartbleed; il bug riguardante la vulnerabilità di sicurezza di una recente versione di OpenSSL che ha fatto il giro del mondo allarmando utenti e aziende. Si teme che molti, compresa la National Security Agency degli Stati Uniti, ne fossero a conoscenza da almeno due anni e l’abbiano sfruttato per raccogliere dati sensibili.

Tra gli esperti di sicurezza molti, tra i più “paranoici“, sostengono la gravità del problema e la necessità generare nuovamente le chiavi del certificato SSL in quanto, potenzialmente, non più sicure a seguito del bug. La storia recente ha insegnato come, spesso, “i paranoici” vedessero giusto.

In questi ultimi giorni sono stati effettuati dei test sull’effettiva gravità del bug Heartbleed che è risultato in grado di recuperare informazioni contenute all’interno della memoria del server.  Alcuni ricercatori hanno provato a sfruttare il bug per sottrarre informazioni private dimostrando di riuscire nel loro intento.

Il risultato ci ricorda di non sottovalutare la gravità di questa vulnerabilità.

Bug Heartbleed, come difendersi

Per ottenere le informazioni, l’utente malintenzionato sfruttando la vulnerabilità del bug Heartbleed preleva ogni volta 64k di dati dalla memoria del computer; dati che possono includere credenziali di accesso di persone che recentemente hanno effettuato l’accesso al server. Gli aggressori possono continuare a colpire il server ripetutamente ogni volta prelevando 64k di dati.

bug heartbleed explanation

Per difenderci dobbiamo assicurarci che la falla sia chiusa e in questo rassicuriamo gli utenti dei nostri servizi; potrebbe poi essere opportuno, per i servizi più critici, procedere alla rigenerazione dei certificati SSL. A tal proposito, anche Akamai Technologies, la cui rete gestisce fino al 30% di tutto il traffico Internet, ha dichiarato giusto un paio di giorni fa, come a seguito del bug Heartbleed abbia deciso di passare ad una nuova versione re-signed di tutti i suoi certificati SSL (Secure Sockets Layer) e delle chiavi di sicurezza utilizzate per creare connessioni tra siti web e visitatori.

Tag:
4 Commenti

Scrivi un Commento:

*

Accedi

Registrati | Password dimenticata?