Un grosso bug in OpenSSL mette molta Internet a rischio
Se sei una di quelle persone che hanno sempre creduto che la crittografia open source sia il modo più sicuro per comunicare online, ti sorprende un po '.
Questa settimana, Neel Mehta, un membro del team di sicurezza di Google, ha informato il team di sviluppo di OpenSSL che esiste un exploit con OpenSSL “battito cardiaco” caratteristica. Google ha scoperto il bug quando lavorava con la società di sicurezza Codenomicon per provare e hackerare i propri server. In seguito alla notifica di Google, il 7 aprile, il team di OpenSSL ha pubblicato il proprio Security Advisory insieme a una patch di emergenza per il bug.
Al bug è già stato dato il soprannome “heartbleed” dagli esperti di sicurezza Esperto di sicurezza Bruce Schneier su password, privacy e fiducia Esperto di sicurezza Bruce Schneier su password, privacy e fiducia Scopri di più sulla sicurezza e sulla privacy nella nostra intervista con l'esperto di sicurezza Bruce Schneier. Per saperne di più, perché utilizza OpenSSL “battito cardiaco” funzione per ingannare un sistema che esegue OpenSSL nel rivelare informazioni riservate che possono essere memorizzate nella memoria di sistema. Mentre molte delle informazioni archiviate nella memoria potrebbero non avere molto valore per gli hacker, la gemma catturerebbe le stesse chiavi che il sistema utilizza per crittografare le comunicazioni. 5 modi per crittografare in sicurezza i tuoi file nel cloud 5 modi per crittografare i tuoi file in modo sicuro Cloud I tuoi file possono essere crittografati durante il transito e sui server del cloud provider, ma la società di cloud storage può decrittografarli e chiunque possa accedere al tuo account può visualizzare i file. Lato client ... Leggi altro .
Una volta ottenute le chiavi, gli hacker possono decifrare le comunicazioni e acquisire informazioni sensibili come password, numeri di carte di credito e altro. L'unico requisito per ottenere quelle chiavi sensibili è quello di consumare i dati crittografati dal server abbastanza a lungo da catturare le chiavi. L'attacco non è rilevabile e non è rintracciabile.
Il bug di Heartbeat OpenSSL
Le ramificazioni di questo difetto di sicurezza sono enormi. OpenSSL è stato istituito per la prima volta nel dicembre del 2011 e rapidamente è diventato una libreria crittografica utilizzata da aziende e organizzazioni in tutto il mondo per crittografare informazioni e comunicazioni sensibili. È la crittografia utilizzata dal server Web Apache, su cui sono costruiti quasi la metà di tutti i siti Web su Internet.
Secondo il team di OpenSSL, il buco della sicurezza deriva da un difetto del software.
“Un controllo dei limiti mancanti nella gestione dell'estensione heartbeat TLS può essere utilizzato per rivelare fino a 64k di memoria su un client o server collegato. Sono interessate solo le versioni 1.0.1 e 1.0.2-beta di OpenSSL, tra cui 1.0.1f e 1.0.2-beta1.”
Senza lasciare alcuna traccia sui log del server, gli hacker potrebbero sfruttare questa debolezza per ottenere dati crittografati da alcuni dei server più sensibili su Internet, come server web di banche, server di società di carte di credito, siti Web di pagamento di fatture e altro.
La probabilità che gli hacker ottengano le chiavi segrete resta comunque in dubbio, perché Adam Langley, un esperto di sicurezza di Google, ha postato sul suo stream Twitter che i suoi test non hanno rivelato nulla di così sensibile come le chiavi di crittografia segrete.
Il suo Advisory sulla sicurezza il 7 aprile, il team di OpenSSL ha raccomandato un aggiornamento immediato e una soluzione alternativa per gli amministratori di server che non possono aggiornare.
“Gli utenti interessati devono eseguire l'aggiornamento a OpenSSL 1.0.1g. Gli utenti che non sono in grado di eseguire immediatamente l'aggiornamento possono in alternativa ricompilare OpenSSL con -DOPENSSL_NO_HEARTBEATS. 1.0.2 verrà risolto in 1.0.2-beta2.”
A causa della proliferazione di OpenSSL su Internet negli ultimi due anni, la probabilità che l'annuncio di Google porti a imminenti attacchi è piuttosto elevata. Tuttavia, l'impatto di tali attacchi può essere attenuato dal numero di amministratori di server e di responsabili della sicurezza che aggiornano i propri sistemi aziendali a OpenSSL 1.0.1g il prima possibile.
Fonte: OpenSSL
Scopri di più su: sicurezza online, OpenSSL, password, SSL.