heartbleed-bug

Bug Heartbleed: conoscere per prevenire

Indice dei contenuti

La sicurezza informatica non esiste, la paranoia è la cosa che più ci si avvicina.”

 
Da giorni non si fa altro che parlare del Bug Heartbleed; il bug riguardante la vulnerabilità di sicurezza di una recente versione di OpenSSL che ha fatto il giro del mondo allarmando utenti e aziende. Si teme che molti, compresa la National Security Agency degli Stati Uniti, ne fossero a conoscenza da almeno due anni e l’abbiano sfruttato per raccogliere dati sensibili.

Tra gli esperti di sicurezza molti, tra i più “paranoici“, sostengono la gravità del problema e la necessità generare nuovamente le chiavi del certificato SSL in quanto, potenzialmente, non più sicure a seguito del bug. La storia recente ha insegnato come, spesso, “i paranoici” vedessero giusto.

In questi ultimi giorni sono stati effettuati dei test sull’effettiva gravità del bug Heartbleed che è risultato in grado di recuperare informazioni contenute all’interno della memoria del server.  Alcuni ricercatori hanno provato a sfruttare il bug per sottrarre informazioni private dimostrando di riuscire nel loro intento.

Il risultato ci ricorda di non sottovalutare la gravità di questa vulnerabilità.

Bug Heartbleed, come difendersi

Per ottenere le informazioni, l’utente malintenzionato sfruttando la vulnerabilità del bug Heartbleed preleva ogni volta 64k di dati dalla memoria del computer; dati che possono includere credenziali di accesso di persone che recentemente hanno effettuato l’accesso al server. Gli aggressori possono continuare a colpire il server ripetutamente ogni volta prelevando 64k di dati.

bug heartbleed explanation

Per difenderci dobbiamo assicurarci che la falla sia chiusa e in questo rassicuriamo gli utenti dei nostri servizi; potrebbe poi essere opportuno, per i servizi più critici, procedere alla rigenerazione dei certificati SSL. A tal proposito, anche Akamai Technologies, la cui rete gestisce fino al 30% di tutto il traffico Internet, ha dichiarato giusto un paio di giorni fa, come a seguito del bug Heartbleed abbia deciso di passare ad una nuova versione re-signed di tutti i suoi certificati SSL (Secure Sockets Layer) e delle chiavi di sicurezza utilizzate per creare connessioni tra siti web e visitatori.

CONDIVIDI SUI SOCIAL

4 risposte

  1. In questi giorni praticamente tutti parlano di questo bug openssl. Voi scrivete che NSA lo sapeva da due anni? Veramente questo bug è così vecchio? Come posso riscontrare questa affermazione “senzazionalistica”?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

8 + 2 =