Mercoledì 09 Aprile 2014
Grave vulnerabilità in OpenSSL

A rischio milioni di siti e i dati sensibili sul web

Una vulnerabilità di estrema criticità (CVE-2014-0160) è stata individuata nelle ultime ore da un gruppo di ricercatori finlandesi in collaborazione con esperti Google e si sta rivelando come una delle più gravi nella storia di Internet.

Il bug di sicurezza, battezzato Heartbleed, riguarda uno dei software di crittografia più popolari e diffusi, OpenSSL, implementazione opensource dei protocolli SSL e TLS, che viene ormai utilizzato per la criptatura di due terzi dei server in tutto il mondo.

Tre gli aspetti che determinano la gravità del bug: la grandissima diffusione di OpenSSL, l’impossibilità di rinvenire tracce di eventuali azioni di attacco e la fiducia riposta nel protocollo SSL, considerato fino ad ora la migliore tra le misure di sicurezza.

La grave falla sarebbe presente da almeno due anni e sembra permetta non soltanto di spiare il contenuto delle altrui comunicazioni cifrate, ma anche di impossessarsi della chiave privata utilizzata durante lo scambio di dati (crittografia asimmetrica).

La vulnerabilità Heartbleed consente dunque la lettura di aree di memoria sul server remoto che esegue una versione di OpenSSL affetta dal bug; queste zone di memoria potenzialmente contengono (in chiaro) dati che in precedenza il server ha elaborato.

La vulnerabilità perciò è così estesa da mettere in pericolo tutti i nostri dati più importanti, come le credenziali di login, i numeri di carte di credito, i dettagli dei conti bancari e altri dati personali: tutto è potenzialmente aperto a chi volesse appropriarsene.

La patch è già stata rilasciata, in concomitanza all’ammissione dell’esistenza del bug, ma installando l'aggiornamento 1.0.1g di OpenSSL non sarà comunque risolta la vulnerabilità: se sul server web si continueranno ad usare gli stessi certificati digitali, eventuali aggressori che se ne fossero impossessati in passato, sfruttando la falla di OpenSSL, avrebbero comunque la strada aperta per intercettare le comunicazioni altrui.

Il problema dunque riguarda il passato poiché non è possibile sapere se e quanti dati siano stati sottratti: server web di tutto il mondo potrebbero essere stati oggetti di ripetuti attacchi con conseguente sottrazione delle chiavi private.

Tutte le chiavi emesse negli ultimi anni andrebbero quindi richiamate, nel dubbio che possano essere state intercettate e causare quindi un possibile furto di informazioni ritardato.

E’ necessario dunque che ciascuna entità coinvolta nella vulnerabilità che utilizzi o abbia integrato OpenSSL, nelle versioni affette dalla vulnerabilità, nei propri prodotti, intervenga tempestivamente con un aggiornamento. A titolo di esempio, questa attività di remediation dovrà coinvolgere produttori di sistemi operativi, produttori di software, compresi provider e sviluppatori di servizi online, che dovranno aggiornare OpenSSL e darne comunicazione alle persone interessate.

Ogni azienda deve attivarsi tempestivamente per cambiare le proprie chiavi private di criptazione, chiedendo agli utenti di modificare le password, in particolare per i siti dove vengono conservate informazioni sensibili.

Contatta Yarix per assicurare alla tua azienda un’elevata garanzia di protezione.

 

Bibliografia:

Descrizione: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

Test vulnerabilità server: http://filippo.io/Heartbleed/

Vedi anche: