Sicurezza

Heartbleed: il cuore sanguinante della sicurezza di Internet

Tutti terrorizzati dalla vulnerabilità nella libreria criptata. Ecco come funziona e come difendersi 

– Credits: Thristian, Flickr

Probabilmente non ne avete mai sentito parlare prima. OpenSSL è una libreria criptata utilizzata per mettere al sicuro il traffico della rete, in una percentuale davvero ampia. Pensate che se le app che utilizzate e i siti che visitate prevedono l’invio di dati in maniera protetta, probabilmente lo stanno facendo utilizzando OpenSSL per crittografarli e renderli illeggibili da occhi esterni. Ad esempio il web server Apache che alimenta quasi il 50% dei siti web utilizza OpenSSL. Si capisce che se in questa libreria qualcosa non dovesse andare, si metterebbe a rischio ben più di un dato sensibile che in ogni secondo passa per internet.

E qualcosa che non va c’è. Alcuni esperti di sicurezza, tra cui Neel Mehta, componente del team security di Google, hanno cercato di fare il punto pubblicando un sito, chiamato “Heartbleed” dove viene spiegata l’essenza di un bug che potrebbe rendere più debole OpenSSL, con il rischio che vengano rubate informazioni che in condizioni normali sarebbero protette. Il bug in questione permetterebbe a chiunque su internet di leggere la memoria del sistema protetta da una versione vulnerabile di OpenSSL. Questo compromette l’accesso alle chiavi segrete utilizzate per identificare i soggetti che possono realmente leggere i dati in entra e uscita degli utenti, conservandoli in archivi e senza rilasciarli esternamente.

Una volta ottenute le chiavi segrete, un aggressore può entrare nel server e porsi come soggetto legittimato all’ingresso, prelevando tutti i dati che vuole. “Abbiamo analizzato molti dei nostri servizi dalla prospettiva di un malintenzionato ed effettuato attacchi verso i nostri stessi sistemi dall’esterno, senza lasciare traccia. Anche non utilizzando alcuna chiave di ingresso privilegiata o credenziali particolari, siamo riusciti a rubare le chiavi segrete usate per vari certificati, oltre a nomi utente, password e documenti contenenti chat di testo, email e comunicazioni varie” – si legge sul sito .

Il bug Heartbleed sarebbe in giro già da un paio di anni (più o meno dal dicembre del 2011) prima della sua pubblicazione avvenuta ieri. La prospettiva peggiore è che potrebbe essere stato utilizzato più di una volta proprio grazie alla caratteristica di non lasciare traccia da parte di chi ne approfitta. Un bug talmente grave che nel giro di poche ore OpenSSL ha rilasciato un aggiornamento destinato a risolverlo. Precisi e tempestivi.

Comunque, per controllare se un server è infetto si può fare il test .

 
© Riproduzione Riservata

Commenti