Come difendersi da Heartbleed

La falla di sicurezza senza precedenti che ferma Internet.

Articolo multipagina1 / 2
- 1. Come difendersi da Heartbleed
- 2. Come funziona Heartbleed

[ZEUS News - www.zeusnews.it - 10-04-2014]

Scusate se arrivo tardi all'orgia mediatica del panico intorno a Heartbleed, la falla gravissima nel software di autenticazione e cifratura OpenSSL che permette di rubare in modo invisibile password di utenti e identità di siti, ma nei giorni scorsi sono stato costantemente in giro per lavoro e non ho avuto il tempo di scrivere qui su questo tema.

Il problema è veramente serio. Credo che sia il più grave della storia recente di Internet in termini di pervasività e danno potenziale. Bruce Schneier, uno dei massimi esperti mondiali di sicurezza, l'ha definito senza mezzi termini "catastrofico".

Le autorità svizzere, specificamente la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI, hanno pubblicato un dettagliato comunicato (in francese e tedesco).

Le cose di base da sapere sono queste:

Articoli raccomandati:

Poodle, vulnerabilità in tutti i browser

ShellShock, falla critica in Linux e Mac OS X

Heartbleed è ancora là fuori. Come difendersi

Heartbleed, altre info in breve

- Heartbleed è il nome informale dato a un errore di programmazione (CVE-2014-0160) che da due anni è presente nella libreria software crittografica OpenSSL versione 1.0.1, che è usata o è stata usata da due terzi dei siti Internet del mondo per proteggere le comunicazioni sensibili (principalmente scambi di password) e per autenticarsi (far chiudere il lucchetto nei browser). Il nome è un gioco di parole su heartbeat (un termine tecnico che descrive il funzionamento di questa libreria).

- Almeno mezzo milione di siti risulta essere vulnerabile.

- L'errore è già stato corretto nella nuova versione di OpenSSL (la 1.0.1g).

- Si presume si tratti di errore e non di sabotaggio intenzionale.

- L'errore è stato scoperto indipendentemente da due gruppi di ricercatori (Riku, Antti e Matti a Codenomicon e Neel Mehta di Google Security) e annunciato pubblicamente il 7 aprile scorso.

- Spetta ai responsabili della sicurezza dei singoli siti aggiornarsi installando la nuova versione di OpenSSL.

- L'errore consente a un aggressore, senza interagire con i computer/dispositivo della vittima, di acquisire dati riservati (mail, password, documenti, numeri di carte di credito) trasmessi dai siti che usano OpenSSL.

- Cosa ancora più grave, l'errore consente a un sito gestito da un aggressore di spacciarsi per un sito attendibile in modo assolutamente realistico (lucchetto chiuso, https).

- Sono a rischio webmail, social network e anche VPN.

Sondaggio

Quale tra queste tecniche diffusamente utilizzate dagli hacker ti sembra la più pericolosa?

	1. Violazione di password deboli: l'80% dei cyberattacchi si basa sulla scelta, da parte dei bersagli, di password deboli, non conformi alle indicazioni per scegliere una password robusta.
	2. Attacchi di malware: un link accattivante, una chiave USB infetta, un'applicazione (anche per smartphone) che non è ciò che sembra: sono tutti sistemi che possono installare malware nei PC.
	3. Email di phishing: sembrano messaggi provenienti da fonti ufficiali o personali ma i link contenuti portano a siti infetti.
	4. Il social engineering è causa del 29% delle violazioni di sicurezza, con perdite per ogni attacco che vanno dai 25.000 ai 100.000 dollari e la sottrazione di dati.
	5. Ransomware: quei programmi che "tengono in ostaggio" i dati dell'utente o un sito web finché questi non paga una somma per sbloccarli.

Mostra i risultati (2625 voti)

Leggi i commenti (7)

- Non sappiamo quanto questa falla è stata sfruttata, perché l'aggressione spesso non lascia tracce. Dobbiamo presumere il peggio. Alcune tracce indicano che viene sfruttata da mesi.

- Yahoo, Flickr, Imgur sono fra i principali siti che risultano essere (o essere stati) vulnerabili: i ricercatori hanno dimostrato di riuscire a estrarre password e indirizzi di e-mail di Yahoo sfruttando questa falla. Tutti i siti citati ora sono a posto e non sono più vulnerabili.

- Non ci sono aggiornamenti di sicurezza da installare sui computer, tablet o telefonini di noi utenti, ma chi ha un computer che ospita un sito Web oppure un NAS dovrà verificare se sta usando la versione vulnerabile di OpenSSL.

- Non fa differenza se usate Mac OS, Linux, Windows, Android, iOS e se usate un computer o un tablet o uno smartphone: siamo tutti vulnerabili allo stesso modo.

- Ci vorrà tempo perché la falla sparisca da Internet: i singoli siti devono installare la versione aggiornata del software OpenSSL e poi devono generare una nuova coppia di chiavi di sicurezza e aggiornare il proprio certificato SSL. Considerata la ressa che ci sarà per fare queste cose presso le autorità che emettono certificati, il problema si trascinerà probabilmente per alcuni giorni.

- La parte più difficile sarà rimuovere la falla da NAS, firewall e sistemi embedded. Cisco, per esempio, ha annunciato che almeno tredici dei suoi sistemi di telefonia IP e server di comunicazione e messaggistica sono vulnerabili e vanno aggiornati.

Le cose fondamentali da fare, invece, sono queste:

- Controllate se i siti che visitate sono vulnerabili o si sono aggiornati, immettendone il nome in ssllabs.com/ssltest oppure filippo.io/Heartbleed/.

- Se un sito risulta vulnerabile, non interagite con esso fino a che non si aggiorna. Non cambiate la vostra password: è inutile se il sito non si aggiorna. La nuova password verrebbe letta dagli aggressori.

- Se un sito risulta non vulnerabile, visitatelo e cambiate immediatamente la vostra password.

- Non usate la stessa password per siti differenti: se lo fate, mai come oggi è il momento di smettere di essere così pigri e imprudenti.

- Non fidatevi di mail o altri messaggi che vi invitano a cliccare su un link per aggiornare le vostre password: sono quasi sicuramente trappole di criminali.

- Non seguite link a siti presso i quali avete un account: digitate a mano il nome del sito nel vostro browser.

- Se avete NAS o altri server personali esposti a Internet, aggiornateli appena possibile.

Infine, alcune considerazioni generali:

- Il fatto che la falla sia in un componente software open source non è una dimostrazione dell'inaffidabilità dell'open source. Anzi, il fatto che il codice di questa libreria sia aperto e ispezionabile da chiunque ha agevolato la scoperta e la correzione dell'errore. Non è detto che errori come questo non ci siano anche nel software chiuso, e se ci sono possono essere scoperti solo da un numero molto ristretto di addetti ai lavori.

- Si sa chi è il "colpevole": lo sviluppatore tedesco Robin Seggelmann, che ha materialmente inserito la modifica errata il 31 dicembre 2011 alle 23:59:57 (almeno stando ai log), ma anche il suo collega revisore Stephen Henson che non ha visto l'errore.

- Gli errori di questo genere avvengono perché un elemento vitale della sicurezza come OpenSSL viene gestito da un numero molto modesto di esperti volontari non pagati. Se le aziende che usano questo software per fare milioni di guadagni donassero qualcosa al progetto OpenSSL, avremmo più occhi a sorvegliare la qualità del software.

- Allo stato attuale sembra improbabile che l'errore sia stato introdotto -intenzionalmente da parte di agenzie governative come NSA per facilitare le intercettazioni, ma è presumibile che queste agenzie abbiano notato e sfruttato la falla.

Fonti aggiuntive: Ars Technica, MELANI. Ringrazio Luigi Rosa per alcune info tecniche.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Come funziona Heartbleed

Articolo multipagina
- 1. Come difendersi da Heartbleed
- 2. Come funziona Heartbleed

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Paolo Attivissimo

Commenti all'articolo (ultimi 5 di 20)

spacexplorer

Piccola aggiunta: OverSecurity ha scritto un bel post a tema giusto per parlare di OpenSource, della sua diffusione ecc
15-4-2014 16:28

spacexplorer

@jumpjack Se un sistema è ben fatto non ha password in chiaro, non gli servono. Salva solo gli hash salt-ati ed il salt, altra cosa da far rilevare a coloro che insistono nel salvare password in chiaro da qualche parte :-> Se nel "momento dell'attacco" nei massimo 64Kb che vengono letti c'è proprio l'hash della tua password... Leggi tutto
12-4-2014 21:29

{umby}

Aggiungo una precisazione che fin'ora nessuno ha espresso. Il baco é nato dall'aggiunta di una funzione nel software openssl due anni fa. Tutto ció che non ha subito aggiornamenti in questi due anni, non ha il baco. Per contro, fare attenzione che acquistando apparecchiature nuove (ovvio che mi riferisco ad... Leggi tutto
12-4-2014 19:27

elisam

Scusa Spacexplorer ma sono un po dura di comprendonio: e' ultra-assodato a livello universale che Heartbleed e' un problema di server e quindi non si devono attendere aggiornamenti specifici per i client : gli utenti. I CLIENT AL MASSIMO DEVONO CAMBIARE LE PASSWORD Non mi sembra questo il caso giusto per propugnare la bonta' e... Leggi tutto
12-4-2014 17:11

jumpjack

@spacexplore ma che dici ??? Qui non parliamo di dati TRASMESSI, ma di dati presenti in RAM! Se in quel momento in RAM ci sono le hash appena lette da disco, o peggio le pwd in chiaro,....
12-4-2014 13:24

Leggi gli altri 15 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(11 commenti) L'intelligenza artificiale era un esercito di programmatori umani	Sicurezza(2 commenti) OneDrive: app e siti possono accedere a tutto il cloud

News(5 commenti)

Windows 11, ennesimo aggiornamento che blocca l'avvio del PC

News(4 commenti)

Amazon, la IA ha trasformato la programmazione in una catena di montaggio

News(19 commenti)

IA sfida i comandi umani e rifiuta di spegnersi

News(11 commenti)

Lidar nelle auto: utile per la guida, letale per le fotocamere

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Una donna è stata querelata per una recensione negativa di un ristorante scritta su Trip Advisor. Quale di queste affermazioni trovi più vicina al tuo pensiero?

	Non è giusto che un'opinione scritta su Internet sia considerata pari a un articolo su un giornale. Bisogna rivedere al più presto le leggi sulla difesa dell'onore e sulla diffamazione.
	E' giusto che anche sui forum o su Facebook o sui siti di recensioni si applichino le leggi relative alla diffamazione. Un'opinione negativa può rovinare la reputazione di un locale.
	Gli utenti devono poter esprimere con la massima libertà la propria opinione su ristoranti, alberghi, ma anche prodotti o servizi acquistati. Un'opinione negativa non dovrebbe essere considerata diffamazione.
	Trovo che oggi più che mai sia necessario prestare la massima attenzione a quello che si scrive online.
	Le recensioni su Internet sono in gran parte inaffidabili: quelle positive sono scritte dai proprietari, quelle negative dalla concorrenza. In ogni caso l'opinione dei pochi singoli onesti non è significativa.
	Vorrei dire la mia sul forum di Zeus News ma temo che prima dovrei procurarmi un buon avvocato, non si sa mai.