Sicurezza di carte di credito e password a rischio: OpenSSL attaccato da Heartbleed

Heartbleed, la vulnerabilità riguarda OpenSSL 1.0.1 fino a 1.0.1f. I maggiori servizi sono aggiornati, ma l'utente è ancora in pericolo a causa dei ritardatari. Facciamo il punto su cosa è successo, e perchè è tanto grave.

Aggiornamento 9 aprile 2014.
Avevamo già segnalato ieri l’esistenza del bug Heartbleed, ma nelle ore seguenti è venuta alla luce la gravità della falla ai sistemi di sicurezza che proteggono la Grande Rete, che si sta rivelando come uno dei più grossi disastri della storia di Internet.

Siccome la faccenda è complessa quanto preoccupante, cercheremo di fare il punto sulla situazione, e di spiegare quello che è successo. Riassumendo il tutto in termini molto generali, ieri è venuto alla luce che uno dei software di crittografia più popolari e diffusi, OpenSSL, è soggetto a una vulnerabilità tanto estesa da mettere in pericolo tutti i nostri dati più importanti, proprio quelli che vorremmo fossero tenuti completamente al sicuro, comprese le credenziali di login, numeri di carte di credito e dati personali.

SSL, cos’è e perché ci faceva sentire al sicuro?


Ogni volta che ci colleghiamo a Gmail o a uno dei servizi di posta elettronica online più popolari (o anche a Facebook), noteremo un piccolo lucchetto accanto alla URL. Quell’icona (e il fatto che l’indirizzo sia https e non http) segnala che ogni dato che noi riceveremo o spediremo sarà crittografato, e che un esterno non vedrà nulla dei contenuti. Questo vale per il testo delle mail, per l’indirizzo dei nostri destinatari, per le password dell’account e così via.

Negli ultimi 12 mesi la maggior parte dei grandi servizi di social media e comunicazione informatica basati negli Stati Uniti e altrove si è spostata su SSL e crittografa i propri contenuti anche nelle comunicazioni interne tra i suoi centri dati. La maggiore attenzione alla sicurezza è completamente merito dell’affare Snowden, e delle misure di protezione divenute necessarie per tenere lontani i servizi di controspionaggio degli stati-nazione, oltre che dei cybercriminali.

Questa nuova attenzione alla sicurezza sarebbe il germe di una situazione molto positiva, se non fosse per Hearbleed.

Heartbleed e il pericolo che rappresenta


Il pacchetto OpenSSL è la maniera più efficiente e economica per gestire la protezione del proprio traffico web dai malintenzionati. I siti e i servizi che sfruttano il protocollo SSL per la crittografia sono per lo più basati su questo software open source.

Purtroppo, come hanno annunciato ieri un gruppo di ricercatori, sono circa 2 anni che OpenSSL è vittima di una voragine di sicurezza che espone il traffico crittografato dal suo pacchetto allo scrutinio degli esterni che sanno sfruttare tale falla.

heartbleed

Il problema risiede in una feature chiamata Heartbeat: tramite questa opzione, un terminale può spedire una sorta di ping attraverso una connessione dati crittografata SSL per verificare che dall’altro capo il terminale con cui sta dialogando sia ancora online. L’altro computer dà un cenno di vita e spedisce un segnale di risposta. Purtroppo, il bug in questione consente al primo terminale di richiedere un contenuto specifico per il segnale di risposta, e può addirittura costringere il secondo terminale a spedirgli l’intero contenuto della propria RAM.

Avete letto bene: l’intera RAM di un server può essere trasferita a un cybercriminale con un semplice ping. Questo significa che con una manciata di informazioni e il giusto algoritmo, un individuo può ricostruire dati privati all’interno di questa massa di memoria, e qui parliamo proprio di numeri di carte di credito, password, indirizzi, numeri di telefono.

La bug è stata battezzata come Heartbleed proprio perché sfrutta la feature Heartbeat, e la difficoltà a goderne è davvero bassa. Basta sapere che esiste.

Non c’è alcuna difesa


Sono proprio le agenzie di controspionaggio il pericolo maggiore, almeno per gli utenti corporate. Ma di fatto chiunque sia un esperto delle questioni della sicurezza informatica è in grado di usare Heartbleed a danno di tutta la popolazione di Internet.

Purtroppo al momento è impossibile sapere quanti siti usano una versione di OpenSSL vulnerabile a Heartbleed, ma sappiamo che il team che sviluppa il pacchetto software e altri gruppi che collaborano hanno tappato il buco il momento stesso in cui è stato notificato. Purtroppo, però, nulla garantisce che il sito che stiamo visitando abbia già fatto l’update.

Per la cronaca: Google, Microsoft, Facebook e Yahoo hanno fatto sapere di essere “a posto”. È un sollievo, ma sappiate che non c’è nulla che possiate fare per proteggere i vostri dati se visitate un sito non aggiornato.

L’unica è di avere un po’ di pazienza, e di cambiare le proprie password una volta che abbiamo appurato che un sito protetto da OpenSSL sia diventato sicuro.

Immagine | XKCD

8 aprile 2014
Il progetto OpenSSL ha appena scoperto una gravissima falla nel protocollo che potrebbe mettere a rischio le chiavi crittografiche e le comunicazioni private di alcuni dei siti e dei servizi più importanti di Internet.

Il bug riguarda OpenSSL dalla versione 1.0.1 fino a 1.0.1f - ma anche OpenSSL 1.0.2-beta - e per evitare spiacevoli conseguenze sarà sufficiente aggiornare all’ultima versione da poco rilasciata, OpenSSL 1.0.1g.

A fornire tutti i dettagli sulla vulnerabilità ci ha pensato Heartbleed.com, che spiega come il problema sia collegato alla sezione heatbeat dei protocolli TSL di OpenSSL e sia in giro ormai da due anni, dal marzo 2012 per la precisione.

Chi non aggiorna subito all’ultima versione, ora che la vulnerabilità è stata resa nota, rischia di mettere in pericolo non soltanto i contenuti dei messaggi sicuri, come le transazioni delle carte di credito fatte su HTTPS, ma anche le stesse chiavi primarie e secondarie SSL.

A scoprirlo ci hanno pensato un ingegnere di Google Security e l’agenzia di sicurezza Codenomicon, secondo i quali la vulnerabilità potrebbe affliggere addirittura il 66% dei siti Internet. La soluzione c’è già, quindi la percentuale è destinata a scendere a breve.

open-ssl

    Non dimenticate di scaricare la Blogo App, per essere sempre aggiornati sui nostri contenuti. E’ disponibile su App Store e su Google Play ed è gratuita.

Via | Heartbleed | VOX

  • shares
  • Mail
1 commenti Aggiorna
Ordina: