[NEWS] Il cuore di OpenSSL sanguina per un bug

[c.m.g]

martedì 8 aprile 2014

Spoiler:

Quote: Un pericolosa vulnerabilità già in circolazione da tempo mette fuori gioco le connessioni protette. Aggiornare è indispensabile, ma sarà opportuno anche purgare le chiavi di cifratura già in circolazione

Roma - La libreria OpenSSL (usata per cifrare le connessioni SSL/TLS su protocollo HTTPS) è bucata, lo è da un paio d'anni e il baco è talmente grave da poter teoricamente invalidare completamente la protezione crittografica fornita dalla tecnologia. Ad annunciare l'esistenza del bug è CloudFlare, società di CDN (Content Delivery Network) che fa ampio uso di OpenSSL e che ha lavorato dietro le quinte per chiudere la falla prima di rivelarne l'esistenza al pubblico.

Come indicato anche nell'advisory su OpenSSL.org, la nuova vulnerabilità nelle tecnologie SSL - certo non nuove a questo genere di problemi - permette a un malintenzionato di rivelare fino a 64 Kilobyte di memoria a un client o server connesso potenzialmente compromettendo le chiavi segrete usate per cifrare il traffico telematico, le comunicazioni "sicure" su SSL/TLS e le identità verificate di utenti e servizi Web.

Il bug è presente nel codice di OpenSSL fin dal marzo 2012, almeno nelle versioni della libreria precedenti alla 1.0.1g e successive alla 1.0.0 (che non è vulnerabile assieme alla 0.9.8). CloudFlare ha già chiuso la falla nel codice adottato sui suoi server, mentre per la versione pubblica di OpenSSL si attende la release 1.0.2 (e precisamente la 1.0.2-beta2) per risolvere la questione in maniera definitiva. Poi toccherà ovviamente agli amministratori di sistema aggiornare.L'insidia di questo bug è che la patch da sola non basterà a risolvere il problema: tutte le chiavi emesse negli ultimi anni andrebbero richiamate, nel dubbio che possano essere state intercettate e causare quindi un'epidemia ritardata. Inoltre, il bug se sfruttato non ha lasciato tracce per comprendere se effettivamente si sia stati vittime di un attacco per carpire dati preziosi: gli admin dovranno rimboccarsi le maniche per venire a capo della faccenda, e non mancherà probabilmente qualche seccatura anche per gli utenti dei servizi che si sono appoggiati fin qui a OpenSSL.

Alfonso Maruccia






Fonte: Punto Informatico

[c.m.g]

OpenSSL, scoperta una grave vulnerabilità su downloadblog

[c.m.g]

Heartbleed, il Web corre ai ripari su punto informatico

Sicurezza di carte di credito e password a rischio: OpenSSL attaccato da Heartbleed su downloadblog

[c.m.g]

Si stima che un terzo dei server di internet utilizza questo protocollo ed è affetto da questo grave bug (nome in codice heartbleed, che significa cuore che sanguina).
Ma allora, come facciamo a sapere quali server sono affetti?
Ci viene in aiuto Lastpass.com che ci offre una pagina dove inserire un URL e fare una verifica.
Si ricordi che è cosa mooolto saggia cambiare la password ai vari servizi, se viene rilevata questa vulnerabilità, ma è meglio farlo dopo aver ricevuto comunicazione dell'avvenuto aggiornamento (lato server) che è disponibile già da Lunedì da parte dei titolari che gestiscono i vari servizi online. Farlo prima, non servirebbe a nulla e darebbe un falso senso di sicurezza.
Per maggiori info, è stato creato pure un sito apposito.

c.m.g



Fonte: Ricerche su Google

[Syk]

Quote:

Originariamente inviato da c.m.g

..Ci viene in aiuto Lastpass.com...

bravo c.m.g

aggiungo che con LastPass è possibile avviare la LASTPASS SECURITY CHALLENGE

• terminata la quale, ci farà sia un ranking sulle nostre password

• che un check automatico di tutti i nostri siti a questo nuovo baco

[c.m.g]

Grazie per il tuo contributo

[c.m.g]

Quote:

Originariamente inviato da c.m.g

Si stima che un terzo dei server di internet utilizza questo protocollo ed è affetto da questo grave bug (nome in codice heartbleed, che significa cuore che sanguina).
Ma allora, come facciamo a sapere quali server sono affetti?
Ci viene in aiuto Lastpass.com che ci offre una pagina dove inserire un URL e fare una verifica.
Si ricordi che è cosa mooolto saggia cambiare la password ai vari servizi, se viene rilevata questa vulnerabilità, ma è meglio farlo dopo aver ricevuto comunicazione dell'avvenuto aggiornamento (lato server) che è disponibile già da Lunedì da parte dei titolari che gestiscono i vari servizi online. Farlo prima, non servirebbe a nulla e darebbe un falso senso di sicurezza.
Per maggiori info, è stato creato pure un sito apposito.

c.m.g



Fonte: Ricerche su Google

Integro quanto scritto in precedenza con questa news:

Chromebleed, un plugin di Chrome dice se il sito visitato è colpito da Heartbleed su downloadblog

[c.m.g]

Heartbleed, lo sviluppatore responsabile si difende: "Non l'ho fatto apposta" su downloadblog

Heartbleed, quali password devi cambiare per proteggerti dal bug di OpenSSL? su downloadblog

[Unax]

ma questa falla come viene sfruttata esattamente?

io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password?

[c.m.g]

Quote:

Originariamente inviato da Unax

ma questa falla come viene sfruttata esattamente?

io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password?

Avendo il protocollo OpenSSL un difetto di programmazione abbastanza grave, potenzialmente, ci può essere perdita di dati sensibili, altrimenti non si userebbe una comunicazione criptata.
Per avere maggiori info su come viene sfruttata la falla, visita il sito creato appositamente.
Molti dicono: chi è che spierebbe la mia password?
Ed io: dimenticate che esistono metodi automatizzati che raccolgono dati sensibili (certificati digitali, cookies, password di archivi protetti di Windows, documenti, credenziali bancari e ai vari servizi ecc...) e gonfiano i loro database attraverso virus et similia, quindi venduti a società di spam o a criminali per sfruttarne il potenziale economico.

[c.m.g]

Heartbleed, la gestione della crisi e le patch su downloadblog

Heartbleed colpisce anche i router, Cisco Systems e Juniper Network lanciano l'allarme su downloadblog

Heartbleed, la NSA sapeva? La vulnerabilità sarebbe stata usata per oltre 2 anni su downloadblog

[xcdegasp]

Perchè un baco di OpenSSL passa alla ribalta di tutti i media terrestri? perchè anche dal fruttivendolo se ne sente discutere e invece sottrazione di database con dati sensibili degli utenti da yahoo, facebook, google, ministero degli interni, visa e mastercard non hanno la stessa portata?

eppure questo baco di openSSL è difficilmente sfruttabile e implica un attacco troppo mirato alla vittima, considerando poi che ogni portale web ha i contenuti su server distinti rispetto a quelli preposti per l'autenticazione, pertanto trovo piu critico il non eseguire un logout essendo i cookies file di testo in chiaro che possono essere facilmente scippati da un malintenzionato o da uno spione.
del resto inqueta di piu una cosa che non è chiara e rimane tenebrosa da una facilmente spiegabile che per l'appunto essendo facile da comprendere viene nella mente ridicolizzata.

il vero problema non è quindi questa falla, che come sappiamo nell'informatica le falle sono i biscotti di ogni giorno di cui nutrirsi per costruire il futuro, bensì la morte naturale della community che si occupa di curarlo e farlo crescere.
se i due programmatori che sviluppano OpenSLL vanno in vacanza si blocca tutto, eppure è paragonabile al verricello della NASA usato nelle missioni sulla stazione orbitale internazionale

[c.m.g]

Heartbleed, arresti e patch su punto informatico

[c.m.g]

LibreSSL, nuovo fork per rendere sicuro OpenSSL, giudicato "irreparabile" su downloadblog

[c.m.g]

Heartbleed: fork, aggiornamenti e attacchi su punto informatico

[enos76]

Quote:

Originariamente inviato da Unax

ma questa falla come viene sfruttata esattamente?

io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password?

Non gli serviva intercettarti.
All'attaccante basta collegarsi allo stesso sito e chiedere "fammi vedere un po' della tua RAM". Il sito che usava OpenSSL ubbidiva diligentemente. Se l'attaccante era fortunato in quella parte della RAM c'erano la tua password o il tuo cookie di sessione. Se non era fortunato provava ancora, tanto l'attacco era ripetibile indefinitamente senza venire loggato.

Con un po' di pazienza era anche possibile recuperare la chiave privata usata dal server per cifrare le connessioni, perché risiedeva nella RAM dello stesso processo, e quindi diventava possibile decodificare le connessioni, ma per fare ciò occorreva essere posizionati opportunamente.



Altro attacco è quello lato client, dove è il server a chiedere al processo client che usa OpenSSL un po' della sua RAM, Il client similmente ubbidisce.. Fortunatamente i client vulnerabili erano/sono pochi (wget, curl, OpenSSL client stesso ecc).

Poi ci sono i router che usano OpenSSL vulnerabile: se l'interfaccia di gestione è aperta sulla WAN, l'attaccante ne legge la memoria e lo può facilmente bucare, per poi redirigerne il traffico o fare altre porcherie.

Morale: aggiorna tutti i programmi che usano SSL, aggiorna i firmware di tutti i router e cambia tutte le password.

[enos76]

Quote:

Originariamente inviato da xcdegasp

eppure questo baco di openSSL è difficilmente sfruttabile e implica un attacco troppo mirato alla vittima

Al contrario: l'attacco poteva tranqullamente essere alla "dò cojo cojo".

Quote:

Originariamente inviato da xcdegasp

il vero problema [...] è [...] la morte naturale della community che si occupa di curarlo e farlo crescere.

Più che morte naturale chiamiamola eutanasia: "certe" agenzie governative (per non fare nomi: quei perdigiorno della NSA) spingono per inserire apposta vulnerabilità nei programmi e negli standard più usati, mettendo gli utenti alla mercé di chiunque li scopra.

Comunque OpenSSL sembra fuori pericolo perché Linux foundation sta facendo colletta
http://www.linuxfoundation.org/news-...ogle-ibm-intel

[Th4N4Th0S]

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

[pierluigip]

Quote:

Originariamente inviato da Th4N4Th0S

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

interessa anche a me ,
specialmente per home banking , poste , paypal , dove girano i miei soldi insomma
per noi lato client , serve solo cambiare password ?
e quando ?

[Spittie]

Quote:

Originariamente inviato da Th4N4Th0S

in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati.
voi cosa consigliate di fare? avete nuove news a riguardo?

Credo ti riferisca a questa: http://mashable.com/2014/04/09/heart...sites-affected

Comunque io, anche solo per andare sul sicuro, cambierei la password a tutti i siti.