[NEWS] Il cuore di OpenSSL sanguina per un bug

[c.m.g]

martedì 8 aprile 2014

Spoiler:

Quote: Un pericolosa vulnerabilità già in circolazione da tempo mette fuori gioco le connessioni protette. Aggiornare è indispensabile, ma sarà opportuno anche purgare le chiavi di cifratura già in circolazione

Roma - La libreria OpenSSL (usata per cifrare le connessioni SSL/TLS su protocollo HTTPS) è bucata, lo è da un paio d'anni e il baco è talmente grave da poter teoricamente invalidare completamente la protezione crittografica fornita dalla tecnologia. Ad annunciare l'esistenza del bug è CloudFlare, società di CDN (Content Delivery Network) che fa ampio uso di OpenSSL e che ha lavorato dietro le quinte per chiudere la falla prima di rivelarne l'esistenza al pubblico.

Come indicato anche nell'advisory su OpenSSL.org, la nuova vulnerabilità nelle tecnologie SSL - certo non nuove a questo genere di problemi - permette a un malintenzionato di rivelare fino a 64 Kilobyte di memoria a un client o server connesso potenzialmente compromettendo le chiavi segrete usate per cifrare il traffico telematico, le comunicazioni "sicure" su SSL/TLS e le identità verificate di utenti e servizi Web.

Il bug è presente nel codice di OpenSSL fin dal marzo 2012, almeno nelle versioni della libreria precedenti alla 1.0.1g e successive alla 1.0.0 (che non è vulnerabile assieme alla 0.9.8). CloudFlare ha già chiuso la falla nel codice adottato sui suoi server, mentre per la versione pubblica di OpenSSL si attende la release 1.0.2 (e precisamente la 1.0.2-beta2) per risolvere la questione in maniera definitiva. Poi toccherà ovviamente agli amministratori di sistema aggiornare.L'insidia di questo bug è che la patch da sola non basterà a risolvere il problema: tutte le chiavi emesse negli ultimi anni andrebbero richiamate, nel dubbio che possano essere state intercettate e causare quindi un'epidemia ritardata. Inoltre, il bug se sfruttato non ha lasciato tracce per comprendere se effettivamente si sia stati vittime di un attacco per carpire dati preziosi: gli admin dovranno rimboccarsi le maniche per venire a capo della faccenda, e non mancherà probabilmente qualche seccatura anche per gli utenti dei servizi che si sono appoggiati fin qui a OpenSSL.

Alfonso Maruccia






Fonte: Punto Informatico

[c.m.g]

OpenSSL, scoperta una grave vulnerabilità su downloadblog

[c.m.g]

Heartbleed, il Web corre ai ripari su punto informatico

Sicurezza di carte di credito e password a rischio: OpenSSL attaccato da Heartbleed su downloadblog

[c.m.g]

Si stima che un terzo dei server di internet utilizza questo protocollo ed è affetto da questo grave bug (nome in codice heartbleed, che significa cuore che sanguina).
Ma allora, come facciamo a sapere quali server sono affetti?
Ci viene in aiuto Lastpass.com che ci offre una pagina dove inserire un URL e fare una verifica.
Si ricordi che è cosa mooolto saggia cambiare la password ai vari servizi, se viene rilevata questa vulnerabilità, ma è meglio farlo dopo aver ricevuto comunicazione dell'avvenuto aggiornamento (lato server) che è disponibile già da Lunedì da parte dei titolari che gestiscono i vari servizi online. Farlo prima, non servirebbe a nulla e darebbe un falso senso di sicurezza.
Per maggiori info, è stato creato pure un sito apposito.

c.m.g



Fonte: Ricerche su Google

[Syk]

Quote:

Originariamente inviato da c.m.g

..Ci viene in aiuto Lastpass.com...

bravo c.m.g

aggiungo che con LastPass è possibile avviare la LASTPASS SECURITY CHALLENGE

• terminata la quale, ci farà sia un ranking sulle nostre password

• che un check automatico di tutti i nostri siti a questo nuovo baco

[c.m.g]

Grazie per il tuo contributo

[c.m.g]

Quote:

Originariamente inviato da c.m.g

Si stima che un terzo dei server di internet utilizza questo protocollo ed è affetto da questo grave bug (nome in codice heartbleed, che significa cuore che sanguina).
Ma allora, come facciamo a sapere quali server sono affetti?
Ci viene in aiuto Lastpass.com che ci offre una pagina dove inserire un URL e fare una verifica.
Si ricordi che è cosa mooolto saggia cambiare la password ai vari servizi, se viene rilevata questa vulnerabilità, ma è meglio farlo dopo aver ricevuto comunicazione dell'avvenuto aggiornamento (lato server) che è disponibile già da Lunedì da parte dei titolari che gestiscono i vari servizi online. Farlo prima, non servirebbe a nulla e darebbe un falso senso di sicurezza.
Per maggiori info, è stato creato pure un sito apposito.

c.m.g



Fonte: Ricerche su Google

Integro quanto scritto in precedenza con questa news:

Chromebleed, un plugin di Chrome dice se il sito visitato è colpito da Heartbleed su downloadblog

[c.m.g]

Heartbleed, lo sviluppatore responsabile si difende: "Non l'ho fatto apposta" su downloadblog

Heartbleed, quali password devi cambiare per proteggerti dal bug di OpenSSL? su downloadblog

[Unax]

ma questa falla come viene sfruttata esattamente?

io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password?

[c.m.g]

Quote:

Originariamente inviato da Unax

ma questa falla come viene sfruttata esattamente?

io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password?

Avendo il protocollo OpenSSL un difetto di programmazione abbastanza grave, potenzialmente, ci può essere perdita di dati sensibili, altrimenti non si userebbe una comunicazione criptata.
Per avere maggiori info su come viene sfruttata la falla, visita il sito creato appositamente.
Molti dicono: chi è che spierebbe la mia password?
Ed io: dimenticate che esistono metodi automatizzati che raccolgono dati sensibili (certificati digitali, cookies, password di archivi protetti di Windows, documenti, credenziali bancari e ai vari servizi ecc...) e gonfiano i loro database attraverso virus et similia, quindi venduti a società di spam o a criminali per sfruttarne il potenziale economico.

[c.m.g]

Heartbleed, la gestione della crisi e le patch su downloadblog

Heartbleed colpisce anche i router, Cisco Systems e Juniper Network lanciano l'allarme su downloadblog

Heartbleed, la NSA sapeva? La vulnerabilità sarebbe stata usata per oltre 2 anni su downloadblog

[xcdegasp]

Perchè un baco di OpenSSL passa alla ribalta di tutti i media terrestri? perchè anche dal fruttivendolo se ne sente discutere e invece sottrazione di database con dati sensibili degli utenti da yahoo, facebook, google, ministero degli interni, visa e mastercard non hanno la stessa portata?

eppure questo baco di openSSL è difficilmente sfruttabile e implica un attacco troppo mirato alla vittima, considerando poi che ogni portale web ha i contenuti su server distinti rispetto a quelli preposti per l'autenticazione, pertanto trovo piu critico il non eseguire un logout essendo i cookies file di testo in chiaro che possono essere facilmente scippati da un malintenzionato o da uno spione.
del resto inqueta di piu una cosa che non è chiara e rimane tenebrosa da una facilmente spiegabile che per l'appunto essendo facile da comprendere viene nella mente ridicolizzata.

il vero problema non è quindi questa falla, che come sappiamo nell'informatica le falle sono i biscotti di ogni giorno di cui nutrirsi per costruire il futuro, bensì la morte naturale della community che si occupa di curarlo e farlo crescere.
se i due programmatori che sviluppano OpenSLL vanno in vacanza si blocca tutto, eppure è paragonabile al verricello della NASA usato nelle missioni sulla stazione orbitale internazionale

[c.m.g]

Heartbleed, arresti e patch su punto informatico

[c.m.g]

LibreSSL, nuovo fork per rendere sicuro OpenSSL, giudicato "irreparabile" su downloadblog

[c.m.g]

Heartbleed: fork, aggiornamenti e attacchi su punto informatico

[Th4N4Th0S]

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

[pierluigip]

Quote:

Originariamente inviato da Th4N4Th0S

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

interessa anche a me ,
specialmente per home banking , poste , paypal , dove girano i miei soldi insomma
per noi lato client , serve solo cambiare password ?
e quando ?

[Spittie]

Quote:

Originariamente inviato da Th4N4Th0S

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

Credo ti riferisca a questa: http://mashable.com/2014/04/09/heart...sites-affected

Comunque io, anche solo per andare sul sicuro, cambierei la password a tutti i siti.

[c.m.g]

Heartbleed: Google, Microsoft e Facebook insieme per evitare un altro disastro su downloadblog

[c.m.g]

Per un futuro senza Heartbleed su punto informatico