|
|
|
|
Strumenti |
09-04-2014, 06:25 | #1 | |||
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
[NEWS] Il cuore di OpenSSL sanguina per un bug
martedì 8 aprile 2014
Roma - La libreria OpenSSL (usata per cifrare le connessioni SSL/TLS su protocollo HTTPS) è bucata, lo è da un paio d'anni e il baco è talmente grave da poter teoricamente invalidare completamente la protezione crittografica fornita dalla tecnologia. Ad annunciare l'esistenza del bug è CloudFlare, società di CDN (Content Delivery Network) che fa ampio uso di OpenSSL e che ha lavorato dietro le quinte per chiudere la falla prima di rivelarne l'esistenza al pubblico. Come indicato anche nell'advisory su OpenSSL.org, la nuova vulnerabilità nelle tecnologie SSL - certo non nuove a questo genere di problemi - permette a un malintenzionato di rivelare fino a 64 Kilobyte di memoria a un client o server connesso potenzialmente compromettendo le chiavi segrete usate per cifrare il traffico telematico, le comunicazioni "sicure" su SSL/TLS e le identità verificate di utenti e servizi Web. Il bug è presente nel codice di OpenSSL fin dal marzo 2012, almeno nelle versioni della libreria precedenti alla 1.0.1g e successive alla 1.0.0 (che non è vulnerabile assieme alla 0.9.8). CloudFlare ha già chiuso la falla nel codice adottato sui suoi server, mentre per la versione pubblica di OpenSSL si attende la release 1.0.2 (e precisamente la 1.0.2-beta2) per risolvere la questione in maniera definitiva. Poi toccherà ovviamente agli amministratori di sistema aggiornare.L'insidia di questo bug è che la patch da sola non basterà a risolvere il problema: tutte le chiavi emesse negli ultimi anni andrebbero richiamate, nel dubbio che possano essere state intercettate e causare quindi un'epidemia ritardata. Inoltre, il bug se sfruttato non ha lasciato tracce per comprendere se effettivamente si sia stati vittime di un attacco per carpire dati preziosi: gli admin dovranno rimboccarsi le maniche per venire a capo della faccenda, e non mancherà probabilmente qualche seccatura anche per gli utenti dei servizi che si sono appoggiati fin qui a OpenSSL. Alfonso Maruccia Fonte: Punto Informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|||
09-04-2014, 06:27 | #2 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
OpenSSL, scoperta una grave vulnerabilità su downloadblog
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
10-04-2014, 07:58 | #3 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Heartbleed, il Web corre ai ripari su punto informatico
Sicurezza di carte di credito e password a rischio: OpenSSL attaccato da Heartbleed su downloadblog
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 10-04-2014 alle 08:08. |
10-04-2014, 10:29 | #4 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Si stima che un terzo dei server di internet utilizza questo protocollo ed è affetto da questo grave bug (nome in codice heartbleed, che significa cuore che sanguina).
Ma allora, come facciamo a sapere quali server sono affetti? Ci viene in aiuto Lastpass.com che ci offre una pagina dove inserire un URL e fare una verifica. Si ricordi che è cosa mooolto saggia cambiare la password ai vari servizi, se viene rilevata questa vulnerabilità, ma è meglio farlo dopo aver ricevuto comunicazione dell'avvenuto aggiornamento (lato server) che è disponibile già da Lunedì da parte dei titolari che gestiscono i vari servizi online. Farlo prima, non servirebbe a nulla e darebbe un falso senso di sicurezza. Per maggiori info, è stato creato pure un sito apposito. c.m.g Fonte: Ricerche su Google
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 10-04-2014 alle 13:34. |
10-04-2014, 12:57 | #5 | |
Senior Member
Iscritto dal: Feb 2007
Messaggi: 3040
|
Quote:
aggiungo che con LastPass è possibile avviare la LASTPASS SECURITY CHALLENGE
__________________
Stop Mozilla Firefox's Discrimination Ultima modifica di Syk : 10-04-2014 alle 13:01. |
|
10-04-2014, 13:34 | #6 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Grazie per il tuo contributo
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
11-04-2014, 08:43 | #7 | |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Quote:
Chromebleed, un plugin di Chrome dice se il sito visitato è colpito da Heartbleed su downloadblog
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
11-04-2014, 08:45 | #8 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Heartbleed, lo sviluppatore responsabile si difende: "Non l'ho fatto apposta" su downloadblog
Heartbleed, quali password devi cambiare per proteggerti dal bug di OpenSSL? su downloadblog
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
11-04-2014, 10:19 | #9 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 5971
|
ma questa falla come viene sfruttata esattamente?
io mi collego ad un sito con https ma chi è che mi deve intercettare e scoprire la mia password? |
12-04-2014, 07:30 | #10 | |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Quote:
Per avere maggiori info su come viene sfruttata la falla, visita il sito creato appositamente. Molti dicono: chi è che spierebbe la mia password? Ed io: dimenticate che esistono metodi automatizzati che raccolgono dati sensibili (certificati digitali, cookies, password di archivi protetti di Windows, documenti, credenziali bancari e ai vari servizi ecc...) e gonfiano i loro database attraverso virus et similia, quindi venduti a società di spam o a criminali per sfruttarne il potenziale economico.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 12-04-2014 alle 07:51. |
|
12-04-2014, 07:40 | #11 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Heartbleed, la gestione della crisi e le patch su downloadblog
Heartbleed colpisce anche i router, Cisco Systems e Juniper Network lanciano l'allarme su downloadblog Heartbleed, la NSA sapeva? La vulnerabilità sarebbe stata usata per oltre 2 anni su downloadblog
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 12-04-2014 alle 07:54. |
14-04-2014, 09:23 | #12 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Perchè un baco di OpenSSL passa alla ribalta di tutti i media terrestri? perchè anche dal fruttivendolo se ne sente discutere e invece sottrazione di database con dati sensibili degli utenti da yahoo, facebook, google, ministero degli interni, visa e mastercard non hanno la stessa portata?
eppure questo baco di openSSL è difficilmente sfruttabile e implica un attacco troppo mirato alla vittima, considerando poi che ogni portale web ha i contenuti su server distinti rispetto a quelli preposti per l'autenticazione, pertanto trovo piu critico il non eseguire un logout essendo i cookies file di testo in chiaro che possono essere facilmente scippati da un malintenzionato o da uno spione. del resto inqueta di piu una cosa che non è chiara e rimane tenebrosa da una facilmente spiegabile che per l'appunto essendo facile da comprendere viene nella mente ridicolizzata. il vero problema non è quindi questa falla, che come sappiamo nell'informatica le falle sono i biscotti di ogni giorno di cui nutrirsi per costruire il futuro, bensì la morte naturale della community che si occupa di curarlo e farlo crescere. se i due programmatori che sviluppano OpenSLL vanno in vacanza si blocca tutto, eppure è paragonabile al verricello della NASA usato nelle missioni sulla stazione orbitale internazionale
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
22-04-2014, 17:25 | #13 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Heartbleed, arresti e patch su punto informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
23-04-2014, 10:15 | #14 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
24-04-2014, 08:49 | #15 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Heartbleed: fork, aggiornamenti e attacchi su punto informatico
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
27-04-2014, 01:34 | #16 | |
Senior Member
Iscritto dal: Mar 2007
Città: Italia
Messaggi: 989
|
Quote:
All'attaccante basta collegarsi allo stesso sito e chiedere "fammi vedere un po' della tua RAM". Il sito che usava OpenSSL ubbidiva diligentemente. Se l'attaccante era fortunato in quella parte della RAM c'erano la tua password o il tuo cookie di sessione. Se non era fortunato provava ancora, tanto l'attacco era ripetibile indefinitamente senza venire loggato. Con un po' di pazienza era anche possibile recuperare la chiave privata usata dal server per cifrare le connessioni, perché risiedeva nella RAM dello stesso processo, e quindi diventava possibile decodificare le connessioni, ma per fare ciò occorreva essere posizionati opportunamente. Altro attacco è quello lato client, dove è il server a chiedere al processo client che usa OpenSSL un po' della sua RAM, Il client similmente ubbidisce.. Fortunatamente i client vulnerabili erano/sono pochi (wget, curl, OpenSSL client stesso ecc). Poi ci sono i router che usano OpenSSL vulnerabile: se l'interfaccia di gestione è aperta sulla WAN, l'attaccante ne legge la memoria e lo può facilmente bucare, per poi redirigerne il traffico o fare altre porcherie. Morale: aggiorna tutti i programmi che usano SSL, aggiorna i firmware di tutti i router e cambia tutte le password. |
|
27-04-2014, 01:53 | #17 | ||
Senior Member
Iscritto dal: Mar 2007
Città: Italia
Messaggi: 989
|
Quote:
Quote:
Comunque OpenSSL sembra fuori pericolo perché Linux foundation sta facendo colletta http://www.linuxfoundation.org/news-...ogle-ibm-intel |
||
27-04-2014, 18:17 | #18 |
Senior Member
Iscritto dal: Dec 2007
Città: Palermo
Messaggi: 2155
|
in giro ho visto una lista di siti dove si dovrebbe cambiare la password tra cui google(gmail), yahoo e altri.
però questo articolo non lo trovo in siti + specializzati. voi cosa consigliate di fare? avete nuove news a riguardo? |
27-04-2014, 18:35 | #19 | |
Senior Member
Iscritto dal: Dec 2000
Città: Prov.di FE
Messaggi: 2548
|
Quote:
specialmente per home banking , poste , paypal , dove girano i miei soldi insomma per noi lato client , serve solo cambiare password ? e quando ? |
|
27-04-2014, 18:52 | #20 | |
Member
Iscritto dal: Nov 2013
Messaggi: 177
|
Quote:
Comunque io, anche solo per andare sul sicuro, cambierei la password a tutti i siti.
__________________
Linksys e3200 @ AdvancedTomato 1.27.17 + TP-Link TD-8960Nv4 @ 1.1.1 28/02/14 build + Telecom Italia 10 mega ^ Bricked Aspetto cavo USB<->TTL per riportarlo in vita. Mai giocare con i sorgenti senza averne uno sotto mano! |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 11:17.