Heartbleed sfruttato per anni dalla NSA, l'organizzazione smentisce

Heartbleed sfruttato per anni dalla NSA, l'organizzazione smentisce

Secondo un nuovo report di Bloomberg, Heartbleed sarebbe stato sfruttato per anni dalla NSA, in modo da ottenere password ed altri dati sensibili dagli utenti

di pubblicata il , alle 16:31 nel canale Sicurezza
 

Heartbleed è un bug nei protocolli TLS/DTLS di OpenSSL, la cui notizia è stata diffusa solamente pochi giorni fa e che è rimasto attivo per circa due anni. In altre parole, per due anni molti dei sistemi crittografici utilizzati online non erano sicuri come promesso sulla carta.

Il bug minava la sicurezza del 66% di siti web HTTPS da cui la NSA avrebbe attinto a piene mani, secondo le nuove rivelazioni di Bloomberg. In base alle parole di alcune fonti anonime, l'agenzia governativa americana otteneva attraverso Heartbleed password ed altri dati sensibili degli utenti.

La vulnerabilità è stata utilizzata per attaccare servizi come Gmail ed Amazon, probabilmente da quando questa è attiva. Negli ultimi due anni, insomma, la NSA ha attinto a man bassa dalle informazioni presenti nei due terzi dei server crittografati del web. Ma c'è di più: Heartbleed è ben lungi dall'essere un caso unico.

Secondo le parole delle fonti citate, è probabile che la NSA sia consapevole ed abbia accesso a migliaia di vulnerabilità simili, che la stessa organizzazione difende e definisce come estremamente importanti per la raccolta di dati per la sicurezza nazionale. L'agenzia di sicurezza americana, tuttavia, ha subito smentito le accuse mosse da Bloomberg.

"La NSA non era a conoscenza della vulnerabilità recentemente nota come Heartbleed fino a quando non è stata resa pubblica", ha comunicato la società su Twitter. "Se il governo federale, inclusa la community di intelligence, avesse scoperto la vulnerabilità prima della scorsa settimana, sarebbe stata comunicata alla community responsabile di OpenSSL", sono invece le parole rilasciate dalla Casa Bianca.

Di seguito riportiamo il comunicato formale (in inglese) rilasciato dall'agenzia:

Reports that NSA or any other part of the government were aware of the so-called Heartbleed vulnerability before April 2014 are wrong. The Federal government was not aware of the recently identified vulnerability in OpenSSL until it was made public in a private sector cybersecurity report. The Federal government relies on OpenSSL to protect the privacy of users of government websites and other online services. This Administration takes seriously its responsibility to help maintain an open, interoperable, secure and reliable Internet. If the Federal government, including the intelligence community, had discovered this vulnerability prior to last week, it would have been disclosed to the community responsible for OpenSSL.

Tuttavia, si tratta in entrambi i casi di comunicati formali e quanto meno "necessari". Secondo il Washington Post, la NSA investe circa 1,6 miliardi di dollari l'anno esclusivamente per rintracciare vulnerabilità (e capire come sfruttarle) nei differenti protocolli di sicurezza utilizzati online, ovvero migliaia di volte il budget dell'intero progetto OpenSSL, e resta lecito pensare che forse la NSA sapeva già qualcosa.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zagor97714 Aprile 2014, 16:59 #1
può darsi che sia vero, probabilmente l'NSA non ha bisogno di un bug, perchè riesce comunque ad acquisire tutti i dati che vuole, indipendentemente da Heartbleed.
SharpEdge14 Aprile 2014, 18:04 #2
Il punto che è che anche l'NSA senza chiavi private non se ne fa molto dei dati che sniffa dalla rete.

Questo bug ti permette di andare a pescare dalla RAM a manciate di 64KB alla volta tutti i dati di sessioni attive con relative password, chiavi private e certificati vari.
Braccop14 Aprile 2014, 18:26 #3
si ma sveglia, qualcuno crede seriamente che quello fosse un bug accidentale? che la nsa non sapesse? che non sia gia' stato sfruttato fino all'osso?

quella era una backdoor bella e buona, anzi altro che door, quella era la porta di un hangar, altroche'... e nessun programmatore con un minimo di cervello si sognerebbe mai di implementare un metodo che legga la memoria in base a dati richiesti dall'esterno senza nessun controllo
Freaxxx14 Aprile 2014, 18:28 #4
Io devo ancora capire chi sceglie i nomi e chi si mette a fare i loghi ogni volta che esce una news del genere, è tutto sempre bello impacchettato con anche il fiocchetto .
san80d14 Aprile 2014, 19:28 #5
di male in peggio, questo sarebbe un reato bello e buono
lorenzo.c14 Aprile 2014, 19:42 #6
Originariamente inviato da: Braccop
si ma sveglia, qualcuno crede seriamente che quello fosse un bug accidentale? che la nsa non sapesse? che non sia gia' stato sfruttato fino all'osso?


E daje col complotto la commit del sorgente con il bug era sotto gli occhi di tutti, essendo il progetto open source. Che poi qualche ente possa averlo scoperto e utilizzato e' un altro discorso, ma da qui a dire che e' stato inserito volontariamente ce ne passa...
Zenida14 Aprile 2014, 20:47 #7
Originariamente inviato da: lorenzo.c
E daje col complotto la commit del sorgente con il bug era sotto gli occhi di tutti, essendo il progetto open source. Che poi qualche ente possa averlo scoperto e utilizzato e' un altro discorso, ma da qui a dire che e' stato inserito volontariamente ce ne passa...


Verissimo... ma le ipotesi di complotto non bisogna trattarle tutte come argomenti di fantascienza perchè finisce come la storia di "a lupo, a lupo"

Per il resto, credo che investire risorse per scovare vulnerabilità nei protocolli di sicurezza, per poi sfruttarle (e quindi non risolvendole) deve essere considerato reato a prescindere dall'ente che fa questa cosa. Quindi se l'NSA scova delle vulnerabilità e le sfrutta deve essere perseguita come un qualsiasi cracker medio
san80d14 Aprile 2014, 20:51 #8
Originariamente inviato da: Zenida
Quindi se l'NSA scova delle vulnerabilità e le sfrutta deve essere perseguita come un qualsiasi cracker medio


d'accordo, ma chi la perseguita?
Spaccamondi14 Aprile 2014, 22:57 #9

non ricordo dove

cavolo a ripescare la discussione, mi pare ci fosse un tizio su un blog che si lamentava di come utilizzando wireshark sul proprio server in maniera legittima avesse visto trafficare le password dei suoi utenti in chiaro nonostante le avesse trasformate in stringhe hash (usava OpenSSL), questo parecchi mesi fa. (meno male che c'è ancora chi implementa bot e metodi per tenere d'occhio i suoi stessi siti).

@zenida:

chi la perseguita? un cracker non medio? :P

io sono dell'opinione che bisogna capire l'algoritmo RSA e almeno per progetti piccoli farsi il proprio protocollo. Qualcosa di completo come un Socket Layer intero diventa estremamente complesso e quindi facilmente fallabile (dolenti o nolenti). Invece se prendiamo il TCP, e ci limitiamo a cifrarne il contenuto (un semplice bytestream) già abbiamo un codice più semplice (poche funzioni e meno di 500 righe di codice) e, se fatto, bene difficilmente fallabile.

Lo stesso motivo percui odio i nuovi sistemi operativi, sborsi soldi per codice nuovo e più complesso che sicuramente avrà più falle di quello vecchio (e di fatti le patch per aggiornare la sicurezza sono una costante). Basterebbe un sistema operativo minimo e più semplice e gli hacker avrebbero la vita molto più difficile

Usando semplice algebra da 1° anno di università e qualche libreria opensource ognuno è in grado di generare numeri primi e crearsi le proprie chiavi (senza limitazioni sulla lunghezza come accade invece per la chiavi odierne che sono limitatissime e facilmente brute-force-abili da enti governativi). Su 5000 bit di lunghezza nel giro di pochi minuti si riesce a trovare un numero primo, diciamo che in meno di 10 minuti avete una chiave RSA a prova di bomba, se solo avete la pazienza di perdere tempo con le congruenze lineari ^^.

Senza contare che è da parecchio che si vocifera che i progressi in matematica potrebbero rendere inutile l'RSA ^^ (ormai ci si sta già preparando con la crittografia ellittica).

La mia opinione è che la NSA è in una brutta situazione:

Se sapevano del baco di OpenSSL, si sono fatti finanziare dal governo quantità ingenti di denaro senza motivo (perchè finanziarsi una computer farm quando bastava sfruttare un baco con un PC da 100 euro?)
Se non sapevano del baco fanno cmq la figura dei pirla, ma come c'era il baco e non l'hanno usato? XD ahahah

In entrambi i casi non potevano fare altro che negare.
Tasslehoff15 Aprile 2014, 00:04 #10
Originariamente inviato da: Spaccamondi
io sono dell'opinione che bisogna capire l'algoritmo RSA e almeno per progetti piccoli farsi il proprio protocollo. Qualcosa di completo come un Socket Layer intero diventa estremamente complesso e quindi facilmente fallabile (dolenti o nolenti). Invece se prendiamo il TCP, e ci limitiamo a cifrarne il contenuto (un semplice bytestream) già abbiamo un codice più semplice (poche funzioni e meno di 500 righe di codice) e, se fatto, bene difficilmente fallabile.
Perdonami, non voglio fare polemica inutile, ma secondo te questo approccio sarebbe sostenibile?

Forza siamo seri, rendiamoci conto che nel 99.9% dei progetti (sia di PA, che di fatto muove la gran parte dell'IT italiano, che del settore privato) non c'è nemmeno il tempo per una analisi, non dico ben fatta, ma anche solo abbozzata.
Ci troviamo in un momento storico in cui una giornata/uomo per sviluppatore, sistemista o analista senior viene quotata 140-160 euro, 20 €/h, manco fossero (con tutto il rispetto per chi fa quella professione) operai generici.

Implementare al algoritmo proprio?
Nella stragrande maggioranza dei casi i servizi vengono installati e configurati seguendo pedissequamente la documentazione con tutti i parametri di default, e questo perchè spesso chi lo fa viene venduto come specialista di prodotto anche se quel prodotto non l'ha mai nemmeno visto, figuriamoci parlare di hardening...

Giusto oggi ero da un cliente dove sto lavorando a diversi servizi facenti parte di una fornitura per complessivi 4-5 milioni di euro, i servizi esposti mediante TLS erano tutti immuni da Heartbleed, ma sei perchè? Tutti servizi talmente obsoleti che le versioni di OpenSSL erano immuni da quel bug (ma vulnerabili a mille altri).
Valutazione ssllabs F, con nessun margine di miglioramento dato che tutto è basato su prodotti enterprise obsoleti, nessun contratto di supporto attivo, nessuna garanzia che tutto funzioni dopo l'upgrade, troppe applicazioni custom, nessuno che paga per i test.

Benvenuti nel mondo dell'IT

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^