Heartbleed sfruttato per anni dalla NSA, l'organizzazione smentisce

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...sce_51907.html

Secondo un nuovo report di Bloomberg, Heartbleed sarebbe stato sfruttato per anni dalla NSA, in modo da ottenere password ed altri dati sensibili dagli utenti

Click sul link per visualizzare la notizia.

[zagor977]

può darsi che sia vero, probabilmente l'NSA non ha bisogno di un bug, perchè riesce comunque ad acquisire tutti i dati che vuole, indipendentemente da Heartbleed.

[SharpEdge]

Il punto che è che anche l'NSA senza chiavi private non se ne fa molto dei dati che sniffa dalla rete.

Questo bug ti permette di andare a pescare dalla RAM a manciate di 64KB alla volta tutti i dati di sessioni attive con relative password, chiavi private e certificati vari.

[Braccop]

si ma sveglia, qualcuno crede seriamente che quello fosse un bug accidentale? che la nsa non sapesse? che non sia gia' stato sfruttato fino all'osso?

quella era una backdoor bella e buona, anzi altro che door, quella era la porta di un hangar, altroche'... e nessun programmatore con un minimo di cervello si sognerebbe mai di implementare un metodo che legga la memoria in base a dati richiesti dall'esterno senza nessun controllo

[Freaxxx]

Io devo ancora capire chi sceglie i nomi e chi si mette a fare i loghi ogni volta che esce una news del genere, è tutto sempre bello impacchettato con anche il fiocchetto .

[san80d]

di male in peggio, questo sarebbe un reato bello e buono

[lorenzo.c]

Quote:

Originariamente inviato da Braccop

si ma sveglia, qualcuno crede seriamente che quello fosse un bug accidentale? che la nsa non sapesse? che non sia gia' stato sfruttato fino all'osso?

E daje col complotto la commit del sorgente con il bug era sotto gli occhi di tutti, essendo il progetto open source. Che poi qualche ente possa averlo scoperto e utilizzato e' un altro discorso, ma da qui a dire che e' stato inserito volontariamente ce ne passa...

[Zenida]

Quote:

Originariamente inviato da lorenzo.c

E daje col complotto la commit del sorgente con il bug era sotto gli occhi di tutti, essendo il progetto open source. Che poi qualche ente possa averlo scoperto e utilizzato e' un altro discorso, ma da qui a dire che e' stato inserito volontariamente ce ne passa...

Verissimo... ma le ipotesi di complotto non bisogna trattarle tutte come argomenti di fantascienza perchè finisce come la storia di "a lupo, a lupo"

Per il resto, credo che investire risorse per scovare vulnerabilità nei protocolli di sicurezza, per poi sfruttarle (e quindi non risolvendole) deve essere considerato reato a prescindere dall'ente che fa questa cosa. Quindi se l'NSA scova delle vulnerabilità e le sfrutta deve essere perseguita come un qualsiasi cracker medio

[san80d]

Quote:

Originariamente inviato da Zenida

Quindi se l'NSA scova delle vulnerabilità e le sfrutta deve essere perseguita come un qualsiasi cracker medio

d'accordo, ma chi la perseguita?

[Spaccamondi]

cavolo a ripescare la discussione, mi pare ci fosse un tizio su un blog che si lamentava di come utilizzando wireshark sul proprio server in maniera legittima avesse visto trafficare le password dei suoi utenti in chiaro nonostante le avesse trasformate in stringhe hash (usava OpenSSL), questo parecchi mesi fa. (meno male che c'è ancora chi implementa bot e metodi per tenere d'occhio i suoi stessi siti).

@zenida:

chi la perseguita? un cracker non medio? :P

io sono dell'opinione che bisogna capire l'algoritmo RSA e almeno per progetti piccoli farsi il proprio protocollo. Qualcosa di completo come un Socket Layer intero diventa estremamente complesso e quindi facilmente fallabile (dolenti o nolenti). Invece se prendiamo il TCP, e ci limitiamo a cifrarne il contenuto (un semplice bytestream) già abbiamo un codice più semplice (poche funzioni e meno di 500 righe di codice) e, se fatto, bene difficilmente fallabile.

Lo stesso motivo percui odio i nuovi sistemi operativi, sborsi soldi per codice nuovo e più complesso che sicuramente avrà più falle di quello vecchio (e di fatti le patch per aggiornare la sicurezza sono una costante). Basterebbe un sistema operativo minimo e più semplice e gli hacker avrebbero la vita molto più difficile

Usando semplice algebra da 1° anno di università e qualche libreria opensource ognuno è in grado di generare numeri primi e crearsi le proprie chiavi (senza limitazioni sulla lunghezza come accade invece per la chiavi odierne che sono limitatissime e facilmente brute-force-abili da enti governativi). Su 5000 bit di lunghezza nel giro di pochi minuti si riesce a trovare un numero primo, diciamo che in meno di 10 minuti avete una chiave RSA a prova di bomba, se solo avete la pazienza di perdere tempo con le congruenze lineari ^^.

Senza contare che è da parecchio che si vocifera che i progressi in matematica potrebbero rendere inutile l'RSA ^^ (ormai ci si sta già preparando con la crittografia ellittica).

La mia opinione è che la NSA è in una brutta situazione:

Se sapevano del baco di OpenSSL, si sono fatti finanziare dal governo quantità ingenti di denaro senza motivo (perchè finanziarsi una computer farm quando bastava sfruttare un baco con un PC da 100 euro?)
Se non sapevano del baco fanno cmq la figura dei pirla, ma come c'era il baco e non l'hanno usato? XD ahahah

In entrambi i casi non potevano fare altro che negare.

[Tasslehoff]

Quote:

Originariamente inviato da Spaccamondi

io sono dell'opinione che bisogna capire l'algoritmo RSA e almeno per progetti piccoli farsi il proprio protocollo. Qualcosa di completo come un Socket Layer intero diventa estremamente complesso e quindi facilmente fallabile (dolenti o nolenti). Invece se prendiamo il TCP, e ci limitiamo a cifrarne il contenuto (un semplice bytestream) già abbiamo un codice più semplice (poche funzioni e meno di 500 righe di codice) e, se fatto, bene difficilmente fallabile.

Perdonami, non voglio fare polemica inutile, ma secondo te questo approccio sarebbe sostenibile?

Forza siamo seri, rendiamoci conto che nel 99.9% dei progetti (sia di PA, che di fatto muove la gran parte dell'IT italiano, che del settore privato) non c'è nemmeno il tempo per una analisi, non dico ben fatta, ma anche solo abbozzata.
Ci troviamo in un momento storico in cui una giornata/uomo per sviluppatore, sistemista o analista senior viene quotata 140-160 euro, 20 €/h, manco fossero (con tutto il rispetto per chi fa quella professione) operai generici.

Implementare al algoritmo proprio?
Nella stragrande maggioranza dei casi i servizi vengono installati e configurati seguendo pedissequamente la documentazione con tutti i parametri di default, e questo perchè spesso chi lo fa viene venduto come specialista di prodotto anche se quel prodotto non l'ha mai nemmeno visto, figuriamoci parlare di hardening...

Giusto oggi ero da un cliente dove sto lavorando a diversi servizi facenti parte di una fornitura per complessivi 4-5 milioni di euro, i servizi esposti mediante TLS erano tutti immuni da Heartbleed, ma sei perchè? Tutti servizi talmente obsoleti che le versioni di OpenSSL erano immuni da quel bug (ma vulnerabili a mille altri).
Valutazione ssllabs F, con nessun margine di miglioramento dato che tutto è basato su prodotti enterprise obsoleti, nessun contratto di supporto attivo, nessuna garanzia che tutto funzioni dopo l'upgrade, troppe applicazioni custom, nessuno che paga per i test.

Benvenuti nel mondo dell'IT

[s0nnyd3marco]

Quote:

Originariamente inviato da Tasslehoff

Perdonami, non voglio fare polemica inutile, ma secondo te questo approccio sarebbe sostenibile?

Forza siamo seri, rendiamoci conto che nel 99.9% dei progetti (sia di PA, che di fatto muove la gran parte dell'IT italiano, che del settore privato) non c'è nemmeno il tempo per una analisi, non dico ben fatta, ma anche solo abbozzata.
Ci troviamo in un momento storico in cui una giornata/uomo per sviluppatore, sistemista o analista senior viene quotata 140-160 euro, 20 €/h, manco fossero (con tutto il rispetto per chi fa quella professione) operai generici.

Implementare al algoritmo proprio?
Nella stragrande maggioranza dei casi i servizi vengono installati e configurati seguendo pedissequamente la documentazione con tutti i parametri di default, e questo perchè spesso chi lo fa viene venduto come specialista di prodotto anche se quel prodotto non l'ha mai nemmeno visto, figuriamoci parlare di hardening...

Giusto oggi ero da un cliente dove sto lavorando a diversi servizi facenti parte di una fornitura per complessivi 4-5 milioni di euro, i servizi esposti mediante TLS erano tutti immuni da Heartbleed, ma sei perchè? Tutti servizi talmente obsoleti che le versioni di OpenSSL erano immuni da quel bug (ma vulnerabili a mille altri).
Valutazione ssllabs F, con nessun margine di miglioramento dato che tutto è basato su prodotti enterprise obsoleti, nessun contratto di supporto attivo, nessuna garanzia che tutto funzioni dopo l'upgrade, troppe applicazioni custom, nessuno che paga per i test.

Benvenuti nel mondo dell'IT

Hai inquadrato perfettamente il problema.

[claudegps]

Quote:

Originariamente inviato da Zenida

Verissimo... ma le ipotesi di complotto non bisogna trattarle tutte come argomenti di fantascienza perchè finisce come la storia di "a lupo, a lupo"

Veramente la storia finisce come "a lupo, a lupo" perchè ogni volta arriva il complottista che sbraita "svegliatevihhh!!! E' ovvio che era li apposta e l'hanno sfruttata!!!! L'hanno messa loro!!!" basandosi solo su ipotesi e congetture - ma senza alcun fondamento...

Quote:

Originariamente inviato da Zenida

Per il resto, credo che investire risorse per scovare vulnerabilità nei protocolli di sicurezza, per poi sfruttarle (e quindi non risolvendole) deve essere considerato reato a prescindere dall'ente che fa questa cosa. Quindi se l'NSA scova delle vulnerabilità e le sfrutta deve essere perseguita come un qualsiasi cracker medio

Concordo. Ma questo è un problema di regole.

[Boscagoo]

Se fosse vero (e se fosse autenticato da prove) sarebbe molto grave...