Heartbleed passerà sicuramente alla storia come uno dei bug più pericolosi del web, che ha potenzialmente messo a rischio moltissimi dati degli internauti a livello mondiale. Cerchiamo di capire prima di tutto chi ha scoperto cosa; in base alle numerose notizie apparse online, anche in una pagina dedicata al problema, Neel Mehta di Google Security e un team si ingegneri finlandesi di Codenomicon specializzati in sicurezza hanno scoperto in contemporanea un bug nell'implementazione dei protocolli TLS/DTLS di OpenSSL, ovvero quelli che stanno alla base delle pagine protette che riconosciamo dall'indirizzo https:// ma non solo.
Detto in altre parole, che semplificheremo ulteriormente, OpenSSL è di fatto un'implementazione open source dei protocolli SSL e TLS, chiamati ad eseguire le funzioni crittografiche principali per mettere al sicuro le comunicazioni online. Esempi concreti se ne contano a bizzeffe, poiché tutto questo è ciò che sta alla base di molti browser, e-mail, messaggistica istantanea, voice over IP e via dicendo.
Moltissimi provider, aziende e servizi che ruotano intorno all'universo web adottano OpenSSL, ovvero tutti quelli che si appoggiano ad Apache e nginx. Per intuire la gravità del potenziale problema basti pensare che, secondo Netcraft, l'adozione è a quota 66% a livello mondiale, quindi fondamentalmente due siti su tre possono potenzialmente essere dei colabrodi da cui possono fuoriuscire dati che dovrebbero essere assolutamente sotto chiave.
Esempi: aprendo Facebook, la pagina dell'home banking, Gmail, Flick, Yahoo, Amazon (solo alcuni delle migliaia di esempi possibili) si può notare che ci si collega a indirizzi che iniziano con https://, fatto che ci garantisce (in teoria) sull'assoluta sicurezza della comunicazione dati fra la nostra postazione e il server remoto, perché è di fatto questo che il protocollo https promette. Facile immaginare cosa passi attraverso questo canale: numeri di carte di credito, password, comunicazioni in chat, mail più o meno riservate, il tutto in volumi inimmaginabili se si pensa alla diffusione di OpenSSL. Le versioni affette dal bug sono quelle indicate con la sigla 1.0.1f, come riportato da heartbleed.com:
What versions of the OpenSSL are affected?
Status of different versions:
OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
OpenSSL 1.0.1g is NOT vulnerable
OpenSSL 1.0.0 branch is NOT vulnerable
OpenSSL 0.9.8 branch is NOT vulnerable
Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.
Tutte le versioni 1.0.1 sono vulnerabili fino alla f, mentre 1.0.1g è in grado di risolvere il problema. Ironia della sorte in questo caso i pigri vincono: chi non ha aggiornato alle ultime versioni è rimasto al sicuro, ma sono probabilmente pochi. Un altro fattore inquietante è il periodo di esposizione: OpenSSL 1.0.1 è disponibile dal marzo del 2012, mentre la versione che risolve il problema è di due giorni fa. Come a dire che per due anni le transazioni sicure in realtà non lo sono state affatto, con tutte le potenziali conseguenze.
Non finisce qui: i gruppi di ricerca che hanno portato alla luce del sole il problema segnalano la facilità con cui si può accedere in lettura alla memoria dei server, semplicemente sfruttando un heartbeat. In informatica, per farla semplice, si intende heartbeat un segnale generato e inviato via hardware o software per sincronizzare servizi o accertarsi dell'operatività dei servizi stessi. Da qui il nome Heartbleed dato al bug, che possiamo tradurre con cuore sanguinante.
La lettura è limitata si fa per dire a 64KB ad attacco, ma è facile comprendere come sia di fatto una magra consolazione pensando che si possono mandare innumerevoli heartbeat a cadenze molto frequenti, senza per giunta lasciare alcuna traccia. Già, poiché la richiesta-ping hearbeat può essere mandata prima del processo di autenticazione richiesta dal protocollo. Un problema potenzialmente enorme, insomma, che apre diversi scenari che cercheremo di analizzare.
Scenario uno: il bug è stato scoperto per la prima volta solo due giorni fa dai due gruppi di ricerca e nessuno a parte loro ne era al corrente in precedenza. Ovviamente è l'ipotesi più ottimistica. Scenario due: in questi due anni qualcuno ha scoperto la falla e l'ha utilizzata (rivenduta), con tutte le conseguenze del caso. Inutile affannarsi per capirci qualcosa ora: troppo presto per avere importanti risposte, motivo per cui limitiamoci ai fatti analizzando ancora una volta la questione.
Chi ha scoperto il problema si è trovato di fronte a un bivio: non dire assolutamente nulla e contattare immediatamente il gruppo che sviluppa OpenSSL, oppure urlare tutto ai quattro venti per massimizzare l'attenzione sul problema e invitare così, nel più breve tempo possibile, ad effettuare l'aggiornamento a OpenSSL 1.0.1g. In realtà sono successe entrambe le cose: due giorni fa, il 7 aprile, Neel Mehta di Google Security ha contattato il gruppo OpenSSL e probabilmente si è deciso poi di dare la massima risonanza al problema per correre ai ripari il più presto possibile.
Non si può non rimanere stupiti di fronte a problemi del genere; Heartbleedè potenzialmente il bug più pericoloso della storia, le cui conseguenze saranno valutate nelle settimane a venire. Da mettere in conto, per gli utenti, un cambio completo delle password, anche se è meglio aspettare ancora un po' affinché chi non ha ancora aggiornato OpenSSL alla versione 1.0.1f lo faccia, altrimenti non serve a nulla. Ci attendiamo inoltre comunicati dai maggiori fornitori di servizi online, per capire se e quali dei siti più frequentati siano stati esposti, oppure no, al problema.
Anda sedang membaca artikel tentang
Bug Heartbleed, dati a rischio per il 66% dei siti web https
Dengan url
http://anakandung.blogspot.com/2014/04/bug-heartbleed-dati-rischio-per-il-66.html
Anda boleh menyebar luaskannya atau mengcopy paste-nya
Bug Heartbleed, dati a rischio per il 66% dei siti web https
namun jangan lupa untuk meletakkan link
Bug Heartbleed, dati a rischio per il 66% dei siti web https
sebagai sumbernya
0 komentar:
Posting Komentar