30 ebook a un prezzo mai visto!

Risparmia sui tuoi libri preferiti, mentre supporti la community Python Italia

➡️ Scopri gli ebook bundle
Home
Heartbleed: brutto colpo al cuore di Internet

10 Aprile 2014

Heartbleed: brutto colpo al cuore di Internet

di

La vulnerabilità peggiore della storia della sicurezza, che occorreranno anni per chiudere e chissà quanti danni ha già fatto.

Se vi occupate di sicurezza informatica e siete in cerca di una immagine iconica da farvi tatuare, il cuore sanguinante di heartbleed è quello che state cercando. La vulnerabilità CVE-2014-0160 di OpenSSL materializza l’incubo peggiore.

Il bug permette a chiunque su Internet di leggere la memoria di sistemi protetti da una versione vulnerabile di OpenSSL. In soldoni, le chiavi private utilizzate per cifrare il traffico – ma anche le password e i generale i dati che transitano dalla memoria di un server esposto su Internet – possono essere letti da remoto. Tutto questo senza lasciare nessuna traccia nei file di log. In sintesi un disastro. Anzi, di più. Bruce Schneier, uno dei più importanti esperti di sicurezza, è definitivo:

“Catastrofico” è la parola giusta. Su una scala da 1 a 10, questo è 11.

Prima di aggiungere una inquietante considerazione sui sistemi embedded, quali access point o router, che potremmo tranquillamente avere installato nelle nostre case:

Qualcuno ha preso in considerazione tutti i sistemi embedded a basso costo e non aggiornabili che usano OpenSSL? Una strategia di aggiornamento basata sullo smaltimento rifiuti, una visita a Media World e l’estrazione di una carta di credito dal portafogli non è divertente per nessuno.

Heartbleed secondo xkcd

xkcd: la carta è sicura, come le tavolette di cera e la nostra immaginazione.

Per i commenti e gli approfondimenti ci sarà tempo; adesso mi sento di dire che la cosa più importante è fornire una guida pratica per capire se i vostri server (o i server dei servizi che usate) sono affetti dal bug.

Come prima cosa, http://filippo.io/Heartbleed/ offre la possibilità di testare facilmente se un server è vulnerabile. Il sito è molto trafficato; se ne avete la possibilità, usate gli strumenti a riga di comando disponibili come ad esempio Heartbleed e heartbleed-masstest.

Se il vostro server è vulnerabile non scoraggiatevi, siete in ottima compagnia. Siti come Yahoo, Stack Overflow, Tumblr o PHP.net erano altrettanto vulnerabili. I server Windows IIS non sono affetti. OS X e OS X Server non sono affetti. Naturalmente, se è stata effettuata una installazione manuale di OpenSSL, o se i sistemi accedono a Internet attraverso altri server, la sicurezza del sistema client conta ben poco.

Se il vostro server è vulnerabile, aggiornate OpenSSL, riemettete i certificati SSL e considerate come potenzialmente compromessi tutti i segreti – come ad esempio le password – presenti sul server.

Se non avete server, ma siete assidui utilizzatori di servizi Internet, è giunto il momento di cambiare le password. Difficile sapere se e da quanto i siti più frequentati possano essere stati vulnerabili al bug e non è un caso che grandi nomi come Twitter o GitHub abbiano riemesso i propri certificati SSL in questi giorni.

Molti dei principali servizi Internet sono già stati protetti dalla minaccia di Heartbleed ma una miriade di frange di Yahoo o Tumblr – meno globali ma significative – resta per ora vulnerabile. C’è da chiedersi se e quando verranno messi in sicurezza, così come c’è da chiedersi quanti dati siano stati sottratti nei due anni in cui il bug è rimasto libero di scorrazzare nella giungla della rete. Siamo solo all’inizio e la ferita purtroppo sanguinerà per molto tempo.

OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics from Elastica Inc on Vimeo.

L'autore

  • Andrea C. Granata
    Andrea C. Granata vanta oltre 25 anni di esperienza nel mondo dello sviluppo software. Ha fondato la sua prima startup nel 1996 e nel corso degli anni si è specializzato in soluzioni per l'editoria e il settore bancario. Nel 2015 è entrato a far parte di Banca Mediolanum come Head of DevOps, ruolo che oggi ricopre per LuminorGroup.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Immagine decorativa form newsletter
Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.