Heartbleed, la falla sfruttata forse già nei mesi passati

Heartbleed, la falla sfruttata forse già nei mesi passati

La falla, aperta da due anni, potrebbe essere stata sfruttata ben prima della sua scoperta pubblica. In rete emerge qualche elemento a suffragio dell'ipotesi

di pubblicata il , alle 16:45 nel canale Sicurezza
 

Nel corso della giornata di ieri è balzato sotto i riflettori il gravissimo caso di Heartbleed, un bug che affligge i due terzi circa dei server Internet che fanno uso del protocollo OpenSSL. Il problema è stato reso noto solamente in questi giorni ma, come abbiamo avuto modo di osservare nell'articolo che abbiamo pubblicato nella mattinata di ieri, la vulnerabilità è aperta da circa due anni e potrebbe essere già stata sfruttata in precedenza in maniera completamente silente.

E proprio in relazione a questa ipotesi iniziano a circolare alcuni elementi che sembrano provare uno sfruttamento di Hearbleed ben prima di quando è stato reso di pubblico dominio. Secondo quanto riporta ArsTechnica, infatti, Terrence Koeman di MediaMonks ha affermato di aver individuato nei log dei propri server tentativi di sfruttare la falla che risalgono al novembre del 2013.

Koeman ha scoperto infatti tracce di una serie di pacchetti in ingresso contenenti elementi simili a quelli illustrati nel proof-of-concept, e provenienti da due IP che fanno parte di una botnet probabilmente adibita ad una scansione della rete per individuare quali server potessero essere vulnerabili al problema.

Intanto i siti web CNET e Mashable hanno iniziato a verificare (sia contattando direttamente i responsabili, sia utilizzando tool online) quali tra i principali siti web siano o siano stati vulnerabili ad Heartbleed, e quali abbiano già provveduto ad applicare le patch correttive.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

19 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
matrix8310 Aprile 2014, 19:39 #1

Mesi fa...

E' da mesi che si conosce e adopera questa falla, erano gia usciti a riguardo articoli l'anno scorso e nessuno se l'è mai cacata. Ora sembra quasi che nessuno ne sapeva nulla e vogliono far credere di cascare dalle nuvole. Oppure semplicemente si sfruttano news vecchie dandole come nuove perchè è la moda del momento.
pabloski10 Aprile 2014, 22:21 #2
Originariamente inviato da: matrix83
E' da mesi che si conosce e adopera questa falla, erano gia usciti a riguardo articoli l'anno scorso e nessuno se l'è mai cacata. Ora sembra quasi che nessuno ne sapeva nulla e vogliono far credere di cascare dalle nuvole. Oppure semplicemente si sfruttano news vecchie dandole come nuove perchè è la moda del momento.


Ne hanno parlato l'anno scorso? E non avrebbero patchato? Impossibile!!!

Forse ti riferisci a quest'altra vulnerabilità https://freedom-to-tinker.com/blog/...an-openssl-bug/
WarDuck11 Aprile 2014, 13:34 #3
Volevo segnalare questo articolo su ZDNet:

http://www.zdnet.com/lagging-androi...eed-7000028319/
pabloski11 Aprile 2014, 14:24 #4
Originariamente inviato da: WarDuck
Volevo segnalare questo articolo su ZDNet:

http://www.zdnet.com/lagging-androi...eed-7000028319/


Non capisco perchè l'autore ha aggiunto "lagging" nel titolo. Bah!

Comunque sia c'è moltissimo software che usa openssl, impossibile sapere quali ( vista la natura bsd della licenza ), per cui si può solo speculare e sperare che gli interessati si diano una mossa.
WarDuck11 Aprile 2014, 16:53 #5
Originariamente inviato da: pabloski
Non capisco perchè l'autore ha aggiunto "lagging" nel titolo. Bah!

Comunque sia c'è moltissimo software che usa openssl, impossibile sapere quali ( vista la natura bsd della licenza ), per cui si può solo speculare e sperare che gli interessati si diano una mossa.


Penso stia per "lagging behind", ovvero rimanere indietro, pensando a quei dispositivi che non vengono aggiornati alle nuove versioni di Android (e che quindi potrebbero rimanere vulnerabili per un certo periodo di tempo).
san80d11 Aprile 2014, 16:58 #6
si può togliere il "forse" dal titolo
pabloski11 Aprile 2014, 17:13 #7
Originariamente inviato da: san80d
si può togliere il "forse" dal titolo


Non è detto, perchè non si hanno informazioni su eventuali exploit usati già da mesi.
Estwald11 Aprile 2014, 23:06 #8
Originariamente inviato da: pabloski
Comunque sia c'è moltissimo software che usa openssl, impossibile sapere quali ( vista la natura bsd della licenza )


OpenSSL è dual licensed ed è impossibile sapere quali software/prodotti la usano solo se questi violano alcune delle clausole presenti in entrambe le licenze, e violare la licenza è possibile anche quando questa si chiama GPL.
pabloski12 Aprile 2014, 13:50 #9
Originariamente inviato da: Estwald
OpenSSL è dual licensed ed è impossibile sapere quali software/prodotti la usano solo se questi violano alcune delle clausole presenti in entrambe le licenze, e violare la licenza è possibile anche quando questa si chiama GPL.


No un momento. Nel caso di BSD e Apache, tu puoi legalmente usare il software e non rendere opensource il codice del prodotto derivato. Nel caso della GPL puoi ovviamente farlo ( ma puoi pure copiare windows, cambiargli il logo e venderlo come tuo sistema operativo ), ma violi la licenza.

Non credo proprio che ci siano migliaia di aziende che vanno in giro a violare licenze, soprattutto quando la BSD ti consente di non pubblicare il codice e il tutto LEGALMENTE!!!
Estwald12 Aprile 2014, 21:08 #10
Originariamente inviato da: pabloski
No un momento. Nel caso di BSD e Apache, tu puoi legalmente usare il software e non rendere opensource il codice del prodotto derivato. Nel caso della GPL puoi ovviamente farlo ( ma puoi pure copiare windows, cambiargli il logo e venderlo come tuo sistema operativo ), ma violi la licenza.

Non credo proprio che ci siano migliaia di aziende che vanno in giro a violare licenze, soprattutto quando la BSD ti consente di non pubblicare il codice e il tutto LEGALMENTE!!!


Tu non hai parlato di codice e io nemmeno. Prendendosi la briga di leggerla una licenza BSD (quella di OpenSSL nello specifico), si scoprirebbe che nelle versioni più comuni si parla anche di copyright specificando che va riportato nella documentazione allegata al prodotto anche nel caso il software venga distribuito in forma binaria ("with or without modification". Morale della favola è possibile stabilire se un prodotto usa OpenSSL o meno tranne quando la licenza viene violata.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^