QR code per la pagina originale

OpenSSL: la madre di tutte le vulnerabilità

Un grave bug in OpenSSL mette a rischio tutte le comunicazioni criptate facenti uso di tale protocollo: il bug, estremamente grave, va ora corretto.

,

Passerà alla storia come “Heartbleed Bug“, un “cuore sanguinante” che già sa dare l’idea di quanto accaduto: è uno dei bug più pericolosi mai scoperti, poiché mina le basi di quella che finora era considerata la migliore tra le misure di sicurezza adottate dagli utenti sul Web.

La vulnerabilità è stata comunicata in gran fanfara nelle ultime ore poiché ore è questo l’obiettivo primario: comunicare, fare in modo che tutti ne vengano a conoscenza, intervengano e pretendano l’intervento da parte dei servizi che si vanno ad utilizzare.

Bug in OpenSSL

Il problema è insito nella libreria software OpenSSL, ossia una porzione di software utilizzato da moltissimi provider e servizi online per implementare le misure di sicurezza previste in seno ai protocolli SSL/TLS. SSL è il protocollo che consente al browser di comunicare dati criptati al server di destinazione: così facendo nessun intervento lungo il percorso può captare le comunicazioni intercorse, impedendo pertanto il furto di dati o di identità. OpenSSL è ciò che consente di mettere in pratica il protocollo, portando tali misure di cautela all’interno dei servizi che intendono implementare un tasso di sicurezza assoluta.

Le comunicazioni veicolate tramite SSL consentono inoltre al browser di mostrare appositi simboli sulla barra degli indirizzi (es. un lucchetto), così che l’utente stesso possa sentirsi sicuro del fatto che i propri dati non saranno a disposizione di alcuno e potranno soltanto essere letti dal server remoto all’atto del loro utilizzo. Lo spostamento verso una navigazione criptata e sicura era anzi caldeggiata ormai da tempo, poiché ritenuta garante della privacy degli utenti e della salubrità generale del Web.

Il bug scoperto in OpenSSL mette tutto in discussione poiché implica un problema all’interno del codice che avrebbe dovuto chiudere il lucchetto: ciò significa che OpenSSL non è sicuro e che pertanto le comunicazioni criptate non sono così segrete come si è fatto immaginare in passato.

Il bug è vecchio di circa due anni e coinvolge nello specifico OpenSSL 1.0.1f: d’ora in avanti non bisognerà più utilizzare versioni antecedenti alla versione corretta 1.0.1g.

Heartbleed Bug: cosa può succedere?

La gravità del bug sta in tre elementi: primo, nella fortissima diffusione di OpenSSL sul mercato; secondo, nella fiducia riposta dall’utenza nel protocollo SSL; terzo, nel fatto che eventuali azioni di attacco possono avvenire senza lasciare traccia alcuna.

Il bug consente la lettura della memoria sul sistema di un utente remoto, potendo così carpirne nome, password, informazioni personali e informazioni caricate all’atto di utilizzo del servizio o del provider. Dalla password di Gmail alle informazioni su Facebook, insomma: tutto è potenzialmente aperto agli occhi di chi volesse far propri tali dati. Un eventuale malintenzionato potrebbe quindi non solo raccogliere dati altrui, ma anche sottrarne l’identità virtuale ed operare impunemente con credenziali non proprie. Il tutto, peraltro, senza agire necessariamente come “Man In The Middle”, ma contattando direttamente il servizio vulnerabile per arrivare all’utente.

Secondo quanto comunicato sul sito ufficiale heartbleed.com, il 66% dei siti Web è vulnerabile in quanto ospitato su server Apache o altre distribuzioni utilizzanti OpenSSL: basta questo numero per quantificare la capillarità e l’estensione del problema. Impossibile però capire se qualcuno avesse già scoperto il bug e ne avesse approfittato: eventuali abusi non avrebbero comunque lasciato traccia e l’unica cosa che si può fare ad oggi è voltar pagina quanto prima con software update che ripristino la presunta sicurezza del protocollo e della sua implementazione più diffusa.

La scoperta

Il bug è stato scoperto da un gruppo di ingegneri indipendenti del team Codenomicon (che rispondono al nome di Riku, Antti e Matti) in collaborazione con Neel Mehta di Google Security. Quest’ultimo ha infine riportato la scoperta al team OpenSSL dando il via ai lavori di correzione.

La soluzione

La soluzione c’è. Una nuova versione di OpenSSL è già stata distribuita in concomitanza con la pubblica ammissione relativa al bug. Ora sta ai vari attori interessati intervenire con un aggiornamento sollecito che risolva le singole situazioni: dai produttori di sistemi operativi, fino ai produttori indipendenti di software, passando per provider e sviluppatori di servizi online, tutti dovranno fare quanto necessario per aggiornare subito OpenSSL e darne inoltre comunicazione alle persone interessate.

Update
Facebook, tra i principali gruppi interessati dal bug in virtù dell’alto numero di utenti e dati personali gestiti, ha fatto sapere di aver immediatamente preso in mano la questione:

Facebook ha attivato un potenziamento della protezione nell’ambito del sistema OpenSSL prima che il problema del bug Heartbleed fosse reso noto. Attualmente il social network non ha rilevato nessuna attività sospetta sugli account Facebook delle persone e continua a monitorare la situazione molto attentamente

Fonte: Heartbleed.com • Via: ArsTechnica • Notizie su:
Commenta e partecipa alle discussioni