Heartbleed - Grave vulnerabilità nell'OpenSSL

Nuove tecnologie, segnalazioni di siti, curiosità e news dai principali provider
Avatar utente
Rob
Site Admin
Site Admin
Messaggi: 20383
Iscritto il: 06/01/2008, 3:41
16
Località: 127.0.0.1
Umore:
Grazie inviati: 509
Grazie ricevuti : 975
Sesso:

Messaggio

Immagine

[b]Heartbleed[/b] è il nome di una grave falla di sicurezza scoperta nelle librerie [b]OpenSSL[/b], già definita da più parti come la più grande vulnerabilità della storia di internet. Identificata la scorsa settimana dal ricercatore di Google Neel Mehta in collaborazione con la società Codenomicon, è stata resa nota al pubblico il 7 aprile 2014. L'OpenSSL è un sistema open source di cifratura che dovrebbe rendere "sicure" le connessioni ed impedire che le nostre credenziali possano venire intercettate da qualcuno. E' identificabile ad esempio dal lucchetto e dal prefisso https che appare nella barra degli indirizzi del browser. Ma tale protocollo è presente anche altrove, come nelle connessioni VPN, nei client di messaggistica e di posta, ftp, ecc. Scritto in linguaggio C, è implementato da milioni di siti in tutto il mondo, compresi colossi quali Google, Facebook e Yahoo. Una percentuale stimata di 2/3 sul totale di tutti i siti.

E' successo che per un banale errore di programmazione da parte dello sviluppatore tedesco Robert Seggelmann, sfuggito a tutti gli altri componenti del team di sviluppo, fosse possible leggere fino a 64KB della memoria di un server, svelando così una notevole quantità di dati che avrebbero dovuto restare riservati. Questa almeno è la versione ufficiale, altri parlano addirittura di un baco introdotto intenzionalmente dalle agenzie governative come NSA per facilitare le intercettazioni. Indipendentemente dalla bontà o meno di questa tesi complottistica, è invece assai probabile che tali agenzie ne abbiano approfittato. Per avere un'idea grossolana di cosa accadesse, guardate questa simpatica (per modo di dire) ricostruzione. Le cose gravi sono due:

1) Queste intercettazioni non hanno lasciato tracce. E' impossibile stabilire con certezza quanti e quali dati siano stati rubati.
2) Il bug è presente da più di DUE ANNI. Immaginate cosa abbia potuto fare in tutto questo tempo chi ne fosse a conoscenza.

Il bug è stato corretto nella nuova versione 1.0.1g dell'OpenSSL rilasciata il 7 aprile stesso, ora spetta ai siti aggiornarla quanto prima (molti l'hanno già fatto).

Cosa fare adesso? Le nostre credenziali sono in pericolo? Dipende:
  • Se un sito è stato coinvolto e ha risolto il problema è bene CAMBIARE LA PASSWORD!
  • Se un sito è stato coinvolto ma non ha ancora risolto il problema, cambiare la password non darebbe alcuna certezza, essendo essa ancora intercettabile. Si suggerisce addirittura di evitare di accedere al sito ma qui i dubbi sono legittimi, perché qualcuno in due anni potrebbe avere già intercettato le nostre credenziali.
  • Se un sito non è stato coinvolto NON occorre cambiare la password.
Ecco di seguito un elenco dei principali siti interessati o meno:
[tr][tv]Sito[/tv][tv][center]Falla presente?[/center][/tv][tv][center]Falla risolta?[/center][/tv][tv][center]Cambiare la password?[/center][/tv][/tr] [tr][tv]Facebook[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Instagram[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]YouTube[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Yahoo![/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Wikipedia[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Blogspot[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Bing[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Live[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Tumblr[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]MSN[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Microsoft[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Flickr[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Blogger[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Googleusercontent[/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][tv][center]SI[/center][/tv][/tr] [tr][tv]Amazon[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]LinkedIn[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]eBay[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]PayPal[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]Twitter[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]Chase[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]CNET[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]CBSSports[/tv][tv][center]NO[/center][/tv][tv][center]/[/center][/tv][tv][center]NO[/center][/tv][/tr] [tr][tv]Pinterest[/tv][tv][center]?[/center][/tv][tv][center]?[/center][/tv][tv][center]?[/center][/tv][/tr] [tr][tv]Wordpress[/tv][tv][center]?[/center][/tv][tv][center]?[/center][/tv][tv][center]?[/center][/tv][/tr] [tr][tv]Imgur[/tv][tv][center]?[/center][/tv][tv][center]?[/center][/tv][tv][center]?[/center][/tv][/tr]
Alcuni siti (quelli col punto interrogativo) non hanno al momento ancora fatto sapere nulla in merito.
Per una lista più completa dei siti coinvolti o meno potete consultare queste pagine:

:freccia: http://mashable.com/2014/04/09/heartble ... -affected/
:freccia: https://github.com/musalbas/heartbleed- ... op1000.txt

In aggiunta, potete verificare voi stessi se un sito sia potenzialmente a rischio o meno attraverso questi tool, anche se in realtà non sempre forniscono risposte definitive:

:freccia: http://filippo.io/Heartbleed/
:freccia: https://www.ssllabs.com/ssltest/
:freccia: https://lastpass.com/heartbleed/
Avatar utente
Fenice
Very Important Poster
Very Important Poster
Messaggi: 31357
Iscritto il: 06/01/2008, 14:53
16
Località: Prope Caput Mundi
Umore:
Grazie inviati: 1
Sesso:

Messaggio

Roba da matti... :azz2: Dei siti coinvolti sono iscritta solo a YouTube, con la password di Google (Gmail, G+;...).
Avatar utente
axxx007xxxz
Utente cancellato
Messaggi: 1433
Iscritto il: 10/02/2013, 13:50
11
Località: Mondo
Sesso:

Messaggio

[quote="Rob";p=69933]2) Il bug è presente da più di DUE ANNI. Immaginate cosa abbia potuto fare in tutto questo tempo chi ne fosse a conoscenza.[/quote]
:shock7: due anni e nessuno non si è accorto di nulla?! Mi sembra strano. :penso: