Bug Heartbleed: conoscere per prevenire

Bug Heartbleed

La sicurezza informatica non esiste, la paranoia è la cosa che più ci si avvicina.”

Da giorni non si fa altro che parlare del Bug Heartbleed; il bug riguardante la vulnerabilità di sicurezza di una recente versione di OpenSSL che ha fatto il giro del mondo allarmando utenti e aziende. Si teme che molti, compresa la National Security Agency degli Stati Uniti, ne fossero a conoscenza da almeno due anni e l’abbiano sfruttato per raccogliere dati sensibili.

Tra gli esperti di sicurezza molti, tra i più “paranoici“, sostengono la gravità del problema e la necessità generare nuovamente le chiavi del certificato SSL in quanto, potenzialmente, non più sicure a seguito del bug. La storia recente ha insegnato come, spesso, “i paranoici” vedessero giusto.

In questi ultimi giorni sono stati effettuati dei test sull’effettiva gravità del bug Heartbleed che è risultato in grado di recuperare informazioni contenute all’interno della memoria del server.  Alcuni ricercatori hanno provato a sfruttare il bug per sottrarre informazioni private dimostrando di riuscire nel loro intento.

Il risultato ci ricorda di non sottovalutare la gravità di questa vulnerabilità.

Bug Heartbleed, come difendersi

Per ottenere le informazioni, l’utente malintenzionato sfruttando la vulnerabilità del bug Heartbleed preleva ogni volta 64k di dati dalla memoria del computer; dati che possono includere credenziali di accesso di persone che recentemente hanno effettuato l’accesso al server. Gli aggressori possono continuare a colpire il server ripetutamente ogni volta prelevando 64k di dati.

bug heartbleed explanation

Per difenderci dobbiamo assicurarci che la falla sia chiusa e in questo rassicuriamo gli utenti dei nostri servizi; potrebbe poi essere opportuno, per i servizi più critici, procedere alla rigenerazione dei certificati SSL. A tal proposito, anche Akamai Technologies, la cui rete gestisce fino al 30% di tutto il traffico Internet, ha dichiarato giusto un paio di giorni fa, come a seguito del bug Heartbleed abbia deciso di passare ad una nuova versione re-signed di tutti i suoi certificati SSL (Secure Sockets Layer) e delle chiavi di sicurezza utilizzate per creare connessioni tra siti web e visitatori.

4 commenti a Bug Heartbleed: conoscere per prevenire

  1. Luigi M. ha detto:

    In questi giorni praticamente tutti parlano di questo bug openssl. Voi scrivete che NSA lo sapeva da due anni? Veramente questo bug è così vecchio? Come posso riscontrare questa affermazione “senzazionalistica”?

  2. […] Il bug Heartbleed in pochi giorni ha fatto il giro del mondo allarmando utenti e aziende. Non tutti sanno che proteggersi basta ricorrere a…  […]

  3. […] del 2014 che hanno fatto parlare di sé e che hanno scatenato un certo rumore. Stiamo parlando di: Heartbleed, Shellshosck e […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Accedi

Registrati | Password dimenticata?