“La sicurezza informatica non esiste, la paranoia è la cosa che più ci si avvicina.”
Da giorni non si fa altro che parlare del Bug Heartbleed; il bug riguardante la vulnerabilità di sicurezza di una recente versione di OpenSSL che ha fatto il giro del mondo allarmando utenti e aziende. Si teme che molti, compresa la National Security Agency degli Stati Uniti, ne fossero a conoscenza da almeno due anni e l’abbiano sfruttato per raccogliere dati sensibili.
Tra gli esperti di sicurezza molti, tra i più “paranoici“, sostengono la gravità del problema e la necessità generare nuovamente le chiavi del certificato SSL in quanto, potenzialmente, non più sicure a seguito del bug. La storia recente ha insegnato come, spesso, “i paranoici” vedessero giusto.
In questi ultimi giorni sono stati effettuati dei test sull’effettiva gravità del bug Heartbleed che è risultato in grado di recuperare informazioni contenute all’interno della memoria del server. Alcuni ricercatori hanno provato a sfruttare il bug per sottrarre informazioni private dimostrando di riuscire nel loro intento.
Il risultato ci ricorda di non sottovalutare la gravità di questa vulnerabilità.
Per ottenere le informazioni, l’utente malintenzionato sfruttando la vulnerabilità del bug Heartbleed preleva ogni volta 64k di dati dalla memoria del computer; dati che possono includere credenziali di accesso di persone che recentemente hanno effettuato l’accesso al server. Gli aggressori possono continuare a colpire il server ripetutamente ogni volta prelevando 64k di dati.
Per difenderci dobbiamo assicurarci che la falla sia chiusa e in questo rassicuriamo gli utenti dei nostri servizi; potrebbe poi essere opportuno, per i servizi più critici, procedere alla rigenerazione dei certificati SSL. A tal proposito, anche Akamai Technologies, la cui rete gestisce fino al 30% di tutto il traffico Internet, ha dichiarato giusto un paio di giorni fa, come a seguito del bug Heartbleed abbia deciso di passare ad una nuova versione re-signed di tutti i suoi certificati SSL (Secure Sockets Layer) e delle chiavi di sicurezza utilizzate per creare connessioni tra siti web e visitatori.
4 risposte
In questi giorni praticamente tutti parlano di questo bug openssl. Voi scrivete che NSA lo sapeva da due anni? Veramente questo bug è così vecchio? Come posso riscontrare questa affermazione “senzazionalistica”?
Arstecnica è solitamenye un’ottima fonte:
http://arstechnica.com/security/2014/04/nsa-used-heartbleed-nearly-from-the-start-report-claims/
Guardando il codice di OpenSSL si vede che il frammento coinvolto non è stato più toccato dal 2012.
NSA smentisce, il che è un aspetto da tenere presente 😉