Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Bug critico per OpenSSL, a rischio le comunicazioni via Web

Link copiato negli appunti

I ricercatori di Codenomicon avrebbero identificato una pericolosa falla a carico di OpenSSL da loro ribattezzata Heartbleed Bug; si tratterebbe in pratica di una vulnerabilità della nota libreria crittografica che permetterebbe la sottrazione di informazioni anche se teoricamente protette tramite cifratura SSL/TLS; la minaccia di eavesdropping si estenderebbe quindi a varie tipologie di servizi, dalle applicazioni Web alla posta elettronica, dai VPN ai canali per la messaggistica istantanea.

Letteralmente l'eavesdropping è un fenomeno che si verifica quando si approfitta segretamente della possibilità di accedere senza alcuna autorizzazione ad una conversazione o ad un interscambio di dati in forma privata; a livello tecnico la vulnerabilità segnalata permetterebbe ad estranei malintenzionati di leggere via Web la memoria di un sistema protetto tramite una versione vulnerabile di OpenSSL; ciò attraverso il verificarsi di un memory leak, cioè una "fuoriuscita di memoria".

Sostanzialmente ci troveremmo davanti ad un pericolo di compromissione delle chiavi di sicurezza adottate per cifrare i dati veicolati e per identificare univocamente il provider di un servizio, nello stesso modo potrebbero divenire accessibili informazioni come le credenziali per l'autenticazione e i contenuti condivisi; almeno a livello teorico chiunque, se dotato di sufficienti competenze, potrebbe violare una comunicazione o impersonare una delle parti legittimamente in comunicazione (fornitore, servizio o utilizzatore).

Codenomicon, che però è stata preceduta dal team di Google Security nel rendere pubblica la notizia, avrebbe rilevato il problema durante l'esecuzione di alcuni test di attacco da remoto contro i propri servizi; in pratica, senza disporre di alcuna informazione chiave per l'accesso, senza disporre di alcuna credenziale e, soprattutto, senza lasciare traccia, i ricercatori sarebbero riusciti a realizzare una sottrazione simulata di chiavi per i certificati di sicurezza e di dati contenuti in email, messaggi e documenti.

Attualmente OpenSSL rappresenterebbe una delle implementazioni di TLS più utilizzate; tale libreria è infatti impiegata di default per la cifratura nei Web engine Apache e nginx che da soli occuperebbero un market share pari ad oltre il 65% del loro comparto di riferimento, inoltre, essa è presente in varie distribuzioni Linux based tra cui Debian (Wheezy, Squeeze non presenterebbe invece il problema), Ubuntu, CentOS e Fedora.

La vulnerabilità, che sarebbe in circolazione dal dicembre 2011, coinvolgerebbe nello specifico l'estensione Heartbeat in OpenSSL dalla versione 1.0.1 alla 1.0.1f (comprese), quindi non le versioni precedenti o successive a quelle presenti nel range indicato. Per chiudere la falla nelle release affette dovrebbe essere sufficiente effettuare una ricompilazione abilitando il flag OPENSSL_NO_HEARTBEATS.

Via Codenomicon

Ti consigliamo anche