martedì 8 aprile 2014

Un pericolosa vulnerabilità già in circolazione da tempo mette fuori gioco le connessioni protette. Aggiornare è indispensabile, ma sarà opportuno anche purgare le chiavi di cifratura già in circolazione

Roma - La libreria OpenSSL (usata per cifrare le connessioni SSL/TLS su protocollo HTTPS) è bucata, lo è da un paio d'anni e il baco è talmente grave da poter teoricamente invalidare completamente la protezione crittografica fornita dalla tecnologia. Ad annunciare l'esistenza del bug è CloudFlare (http://blog.cloudflare.com/staying-ahead-of-openssl-vulnerabilities), società di CDN (Content Delivery Network) che fa ampio uso di OpenSSL e che ha lavorato dietro le quinte per chiudere la falla prima di rivelarne l'esistenza al pubblico.

Come indicato anche nell'advisory su OpenSSL.org (https://www.openssl.org/news/secadv_20140407.txt), la nuova vulnerabilità nelle tecnologie SSL - certo non nuove (http://punto-informatico.it/3635477/PI/News/ssl-piu-grosso-pericolo-del-mondo-connesso.aspx) a questo genere di problemi - permette a un malintenzionato di rivelare fino a 64 Kilobyte di memoria a un client o server connesso potenzialmente compromettendo (http://heartbleed.com/) le chiavi segrete usate per cifrare il traffico telematico, le comunicazioni "sicure" su SSL/TLS e le identità verificate di utenti e servizi Web.

Il bug è presente (http://www.theregister.co.uk/2014/04/08/running_openssl_patch_now_to_fix_critical_bug/) nel codice di OpenSSL fin dal marzo 2012, almeno nelle versioni della libreria precedenti alla 1.0.1g e successive alla 1.0.0 (che non è vulnerabile assieme alla 0.9.8). CloudFlare ha già chiuso la falla nel codice adottato sui suoi server, mentre per la versione pubblica di OpenSSL si attende la release 1.0.2 (e precisamente la 1.0.2-beta2) per risolvere la questione in maniera definitiva. Poi toccherà ovviamente agli amministratori di sistema aggiornare.L'insidia di questo bug è che la patch da sola non basterà (http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/) a risolvere il problema: tutte le chiavi emesse negli ultimi anni andrebbero richiamate, nel dubbio che possano essere state intercettate e causare quindi un'epidemia ritardata. Inoltre, il bug se sfruttato non ha lasciato tracce per comprendere se effettivamente si sia stati vittime di un attacco per carpire dati preziosi: gli admin dovranno rimboccarsi le maniche per venire a capo della faccenda, e non mancherà probabilmente qualche seccatura anche per gli utenti dei servizi che si sono appoggiati fin qui a OpenSSL.

Alfonso Maruccia






Fonte: Punto Informatico (http://punto-informatico.it/4026571/PI/News/cuore-openssl-sanguina-un-bug.aspx)

OpenSSL, scoperta una grave vulnerabilità (http://www.downloadblog.it/post/106467/openssl-scoperta-una-grave-vulnerabilita) su downloadblog

Heartbleed, il Web corre ai ripari (http://punto-informatico.it/4027991/PI/News/heartbleed-web-corre-ai-ripari.aspx) su punto informatico

Sicurezza di carte di credito e password a rischio: OpenSSL attaccato da Heartbleed (http://www.downloadblog.it/post/106467/sicurezza-di-carte-di-credito-e-password-a-rischio-openssl-attaccato-da-heartbleed) su downloadblog

Si stima che un terzo dei server di internet utilizza questo protocollo ed è affetto da questo grave bug (nome in codice heartbleed, che significa cuore che sanguina).
Ma allora, come facciamo a sapere quali server sono affetti?
Ci viene in aiuto Lastpass.com (http://blog.lastpass.com/2014/04/lastpass-now-checks-if-your-sites-are.html) che ci offre una pagina (https://lastpass.com/heartbleed/) dove inserire un URL e fare una verifica.
Si ricordi che è cosa mooolto saggia cambiare la password ai vari servizi, se viene rilevata questa vulnerabilità, ma è meglio farlo dopo aver ricevuto comunicazione dell'avvenuto aggiornamento (lato server) che è disponibile già da Lunedì da parte dei titolari che gestiscono i vari servizi online. Farlo prima, non servirebbe a nulla e darebbe un falso senso di sicurezza.
Per maggiori info, è stato creato pure un sito apposito (http://heartbleed.com/).

c.m.g



Fonte: Ricerche su Google

..Ci viene in aiuto Lastpass.com (http://blog.lastpass.com/2014/04/lastpass-now-checks-if-your-sites-are.html)...
bravo c.m.g :)

aggiungo che con LastPass è possibile avviare la LASTPASS SECURITY CHALLENGE

http://i.imgur.com/Hd51bPn.png

terminata la quale, ci farà sia un ranking sulle nostre password

http://i.imgur.com/WhAdrHt.png

che un check automatico di tutti i nostri siti a questo nuovo baco

http://i.imgur.com/hGv4kZr.png

Grazie per il tuo contributo ;)

Si stima che un terzo dei server di internet utilizza questo protocollo ed è affetto da questo grave bug (nome in codice heartbleed, che significa cuore che sanguina).
Ma allora, come facciamo a sapere quali server sono affetti?
Ci viene in aiuto Lastpass.com (http://blog.lastpass.com/2014/04/lastpass-now-checks-if-your-sites-are.html) che ci offre una pagina (https://lastpass.com/heartbleed/) dove inserire un URL e fare una verifica.
Si ricordi che è cosa mooolto saggia cambiare la password ai vari servizi, se viene rilevata questa vulnerabilità, ma è meglio farlo dopo aver ricevuto comunicazione dell'avvenuto aggiornamento (lato server) che è disponibile già da Lunedì da parte dei titolari che gestiscono i vari servizi online. Farlo prima, non servirebbe a nulla e darebbe un falso senso di sicurezza.
Per maggiori info, è stato creato pure un sito apposito (http://heartbleed.com/).

c.m.g



Fonte: Ricerche su Google
Integro quanto scritto in precedenza con questa news:

Chromebleed, un plugin di Chrome dice se il sito visitato è colpito da Heartbleed (http://www.downloadblog.it/post/106675/chromebleed-un-plugin-di-chrome-dice-se-il-sito-visitato-e-colpito-da-heartbleed) su downloadblog

Heartbleed, lo sviluppatore responsabile si difende: "Non l'ho fatto apposta" (http://www.downloadblog.it/post/106665/heartbleed-lo-sviluppatore-responsabile-si-difende-non-lho-fatto-apposta) su downloadblog

Heartbleed, quali password devi cambiare per proteggerti dal bug di OpenSSL? (http://www.downloadblog.it/post/106635/heartbleed-quali-password-devi-cambiare-per-proteggerti-dal-bug-di-openssl) su downloadblog

ma questa falla come viene sfruttata esattamente?

io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password?

ma questa falla come viene sfruttata esattamente?

io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password?

Avendo il protocollo OpenSSL un difetto di programmazione abbastanza grave, potenzialmente, ci può essere perdita di dati sensibili, altrimenti non si userebbe una comunicazione criptata.
Per avere maggiori info su come viene sfruttata la falla, visita il sito (http://heartbleed.com/) creato appositamente.
Molti dicono: chi è che spierebbe la mia password?
Ed io: dimenticate che esistono metodi automatizzati che raccolgono dati sensibili (certificati digitali, cookies, password di archivi protetti di Windows, documenti, credenziali bancari e ai vari servizi ecc...) e gonfiano i loro database attraverso virus et similia, quindi venduti a società di spam o a criminali per sfruttarne il potenziale economico.

Heartbleed, la gestione della crisi e le patch (http://punto-informatico.it/4029862/PI/News/heartbleed-gestione-della-crisi-patch.aspx) su downloadblog

Heartbleed colpisce anche i router, Cisco Systems e Juniper Network lanciano l'allarme (http://www.downloadblog.it/post/106771/heartbleed-colpisce-anche-i-router-cisco-systems-e-juniper-network-lanciano-lallarme) su downloadblog

Heartbleed, la NSA sapeva? La vulnerabilità sarebbe stata usata per oltre 2 anni (http://www.downloadblog.it/post/106777/heartbleed-la-nsa-sapeva-la-vulnerabilita-sarebbe-stata-usata-per-oltre-2-anni) su downloadblog

Perchè un baco di OpenSSL passa alla ribalta di tutti i media terrestri? perchè anche dal fruttivendolo se ne sente discutere e invece sottrazione di database con dati sensibili degli utenti da yahoo, facebook, google, ministero degli interni, visa e mastercard non hanno la stessa portata?

eppure questo baco di openSSL è difficilmente sfruttabile e implica un attacco troppo mirato alla vittima, considerando poi che ogni portale web ha i contenuti su server distinti rispetto a quelli preposti per l'autenticazione, pertanto trovo piu critico il non eseguire un logout essendo i cookies file di testo in chiaro che possono essere facilmente scippati da un malintenzionato o da uno spione.
del resto inqueta di piu una cosa che non è chiara e rimane tenebrosa da una facilmente spiegabile che per l'appunto essendo facile da comprendere viene nella mente ridicolizzata.

il vero problema non è quindi questa falla, che come sappiamo nell'informatica le falle sono i biscotti di ogni giorno di cui nutrirsi per costruire il futuro, bensì la morte naturale della community che si occupa di curarlo e farlo crescere.
se i due programmatori che sviluppano OpenSLL vanno in vacanza si blocca tutto, eppure è paragonabile al verricello della NASA usato nelle missioni sulla stazione orbitale internazionale

Heartbleed, arresti e patch (http://punto-informatico.it/4034760/PI/News/heartbleed-arresti-patch.aspx) su punto informatico

LibreSSL, nuovo fork per rendere sicuro OpenSSL, giudicato "irreparabile" (http://www.downloadblog.it/post/107299/libressl-nuovo-fork-per-rendere-sicuro-openssl-giudicato-irreparabile) su downloadblog

Heartbleed: fork, aggiornamenti e attacchi (http://punto-informatico.it/4038665/PI/News/heartbleed-fork-aggiornamenti-attacchi.aspx) su punto informatico

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

interessa anche a me ,
specialmente per home banking , poste , paypal , dove girano i miei soldi insomma
per noi lato client , serve solo cambiare password ?
e quando ?

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

Credo ti riferisca a questa: http://mashable.com/2014/04/09/heartbleed-bug-websites-affected

Comunque io, anche solo per andare sul sicuro, cambierei la password a tutti i siti.

Heartbleed: Google, Microsoft e Facebook insieme per evitare un altro disastro (http://www.downloadblog.it/post/107433/heartbleed-google-microsoft-e-facebook-insieme-per-evitare-un-altro-disastro) su downloadblog

Per un futuro senza Heartbleed (http://punto-informatico.it/4040669/PI/News/un-futuro-senza-heartbleed.aspx) su punto informatico

Heartbleed: "Intero mondo Internet necessita di correzione, numero dispositivi infettati inquietante" (http://www.downloadblog.it/post/107671/heartbleed-intero-mondo-internet-necessita-di-correzione-numero-dispositivi-infettati-inquietante) su downloadblog

Heartbleed, 300.000 server ancora vulnerabili dopo un mese (http://www.downloadblog.it/post/108099/heartbleed-300-000-server-ancora-vulnerabili-dopo-un-mese) su downloadblog

Heartbleed, la saga continua (http://punto-informatico.it/4047725/PI/News/heartbleed-saga-continua.aspx) su punto informatico

Ancora falle:
OpenSSL: nuova vulnerabilità dopo Heartbleed, a rischio le comunicazioni private (http://www.downloadblog.it/post/109973/openssl-nuova-vulnerabilita-dopo-heartbleed-a-rischio-le-comunicazioni-private) su downloadblog

OpenSSL, scoperto e chiuso un bug decennale (http://punto-informatico.it/4063705/PI/News/openssl-scoperto-chiuso-un-bug-decennale.aspx) su punto informatico

Heartbleed: due mesi dopo, i server vulnerabili sono ancora oltre 300.000 (http://www.downloadblog.it/post/110897/heartbleed-due-mesi-dopo-i-server-vulnerabili-sono-ancora-oltre-300-000) su downloadblog

Correlata:
Google, il fork di OpenSSL è Boring (http://punto-informatico.it/4076205/PI/News/google-fork-openssl-boring.aspx) su punto informatico

Altra correlata:
OpenSSL, una roadmap contro l'immobilismo (http://punto-informatico.it/4085416/PI/News/openssl-una-roadmap-contro-immobilismo.aspx) su punto informatico

Correlata:
LibreSSL, fork più bucata dell'originale (http://punto-informatico.it/4099293/PI/News/libressl-fork-piu-bucata-dell-originale.aspx) su punto informatico

OpenSSL, nuova policy per la disclosure (http://punto-informatico.it/4136064/PI/News/openssl-nuova-policy-disclosure.aspx) su punto informatico

Altro bug per OpenSSL:
OpenSSL, bug critico di giornata (http://punto-informatico.it/4257760/PI/News/openssl-bug-critico-giornata.aspx) su punto informatico

Correlata:
Ticketbleed, un nuovo caso Heartbleed? (http://punto-informatico.it/4370564/PI/News/ticketbleed-un-nuovo-caso-heartbleed.aspx) su punto informatico