OpenSSL Heartbleed Bug

OpenSSL-BugIn questi giorni Internet è stata scossa da un (nuovo) grave bug di sicurezza chiamato OpenSSL Heartbleed bug.

Questo bug è scoperto da un gruppo di ricercatori indipendenti (Codenomicon) e da alcuni esperti di sicurezza di Google.

Purtroppo mette a rischio milioni di siti Internet dato che il layer SSL è usato non solo in HTTPS, ma in tanti altri protocolli sicuri (come OpenVPN, ma anche servizi di posta e tanti altri).

Questo perché OpenSSL è la libreria che implementa su sistemi OpenSource la gestione dell’intero layer SSL e viene poi inclusa come libreria dinamica in tutti i servizi o applicazioni che la richiedono.

I rischi non sono ancora chiari, come non c’è ancora un elenco di tutti i servizi affetti, ma hrazie a una tempestiva inchiesta di Mashable, per fortuna è venuta alla luce con rapidità una prima lista dei servizi che sono stati messi in pericolo dal bug Heartbleed.

Sui rischi è più complicato, vari siti (non tecnici o comunque non con esperti di sicurezza) riportano informazioni assolutamente non confermate come al fatto che può esperre i numeri delle carte di credito (ma poi nessuno si preoccupa quando lasciate la carta al cameriere o in albergo e magari ne fanno una copia?!) o altre frasi apocalittiche.

Rimane comunque un bug molto grave, visto che con pacchetti forgiati in un certo modo è possibile leggere aree (limitate) della memoria di un sistema. E purtroppo è il secondo grave bug che affligge la sicurezza e i software OpenSource, dopo quello di vari anni fa che però aveva afflitto GnuTLS su Linux.

Apre anche a dei dubbi sulla qualità dei controlli sulla qualità e sulla sicurezza dei software OpenSource, se si pensa alla banalità del bug del 2008 dell’OpneSSL introdotto nelle distribuzioni Debian e derivate (vedasi questo post) fa sorridere (ma bisognerebbe in realtà piangere) la possibile superficialità con cui la sicurezza nei progetti OpenSource, dove in teoria tutti possono migliorare e controllare, ma di fatto dove a volte sono lasciati più alla buona volontà (di pochi).

Ma quello che stupisce (più per il problema del 2008, a dire il vero) è il grande lasso di tempo che serve per scoprire il problema: il codice aperto non dovrebbe favorire e velocizzare queste operazioni?

Forse sarebbe meglio definire priorità diverse nei controlli dei pacchetti OpenSource, dando massima priorità a quelli che implementano soluzioni di sicurezza e introducendo  controlli molto più severi e meticolosi per gli stessi prima di validarli come pacchetti di produzione.

Per verificare se un servizio online è affetto dal problema esiste questo check: http://filippo.io/Heartbleed/

Per il resto la soluzione è aggiornare le librerie se avete servizi che ne fanno uso e cambiare le vostre password e/o certificati/chiavi digitali se avete usato servizi affetti da questo bug.

Questo post è stato visto 1749 volte!

Posted on Aprile 11, 2014 at 6:31 am by amauro · Permalink
In: Generale