di Antonio de Martino
Il bug Heartbleed è una grave vulnerabilità della popolare libreria OpenSSL utilizzata per crittografare i collegamenti su Internet. Questa debolezza permette di rubare le informazioni protette trasmesse da applicazioni quali browser, email, instant messaging (IM) e alcune reti private virtuali (VPN).
Il 7 aprile 2014 è stata data notizia della scoperta di una grave vulnerabilità nelle librerie del software “OpenSSL”, il più diffuso strumento per realizzare collegamenti sicuri su Internet. L’annuncio è stato dato mediante un avviso di sicurezza pubblicato sul sito dedicato al progetto(1). OpenSSL, infatti, è un software open source curato da una comunità mondiale di volontari, che nasce con l’obiettivo di sviluppare una serie di strumenti per implementare i protocolli sicuri Secure Sockets Layer e Transport Layer Security, comunemente noti come SSL e TLS(2).
La debolezza è presente in alcune righe di programma che realizzano una funzionalità chiamata “heartbeat extension”(3). Questa essenzialmente ha il compito di controllare che la connessione tra due dispositivi sia attiva(4). Sfruttando il bug, un malintenzionato potrebbe rubare, con molta facilità, le password degli utenti e altre informazioni riservate, tra cui le chiavi crittografiche usate per proteggere le connessioni HTTPS(5). Ciò può essere realizzato mediante richieste specifiche e ripetute dirette al computer che espone un servizio per il web attraverso il protocollo sicuro .
Per capire meglio di cosa si tratta, è possibile utilizzare un’analogia tra il collegamento di un utente ad un servizio web esposto con OpenSSL con i servizi telefonici offerti da una banca. In questo esempio la banca rappresenta il server web(6), l’impiegato che risponde al telefono è il servizio OpenSSL e il servizio di attesa in linea è l’estensione di OpenSSL chiamata heartbeat. Il cliente della banca è un qualunque computer in Internet che richiede un servizio mediante un protocollo sicuro come HTTPS appunto.
Secondo questo schema, si provi a immaginare, un cliente che telefona a una banca per aprire un nuovo conto corrente, per fissare un appuntamento oppure per chiedere qualunque altra informazione. I due interlocutori inizialmente si accerteranno della corretta identità di chi c’è dall’altra parte della cornetta. Questa fase di riconoscimento è garantita dal protocollo TLS/SSL e nell’esempio si assume che venga gestita correttamente.
Il cliente quindi richiede alcune informazioni. L’impiegato invita il cliente ad attendere un minuto in linea e disattiva il microfono. In questa situazione il cliente può solo aspettare e, dopo qualche minuto di silenzio, inizia a domandarsi se dall’altra parte c’è ancora qualcuno. Per questo motivo dice “pronto?”. L’impiegato, opportunamente addestrato, simula una sorta di eco a conferma della sua presenza e risponde “pronto?”. Questo meccanismo, che mantiene in vita la connessione telefonica tra i due, è il cosiddetto heartbeat e in informatica serve per verificare che esiste ancora una connessione attiva tra due computer. Il termine heartbleed è stato coniato dalla società di sicurezza informatica finlandese ”Codenomicon”, che ha scoperto il bug ed ha pubblicato la notizia su un sito web(7) associando l’immagine di un cuore sanguinante(8).
Heartbleed sfrutta alcune regole del protocollo SSL di cui è affetto che, nell’esempio della chiamata alla banca, possono essere rappresentate dalle istruzioni impartite a un impiegato per gestire l’attesa del cliente: secondo queste direttive alla domanda “quattro parole, c’è qualcuno in linea?” l’impiegato dovrà ripetere quattro parole, ovvero ”c’è qualcuno in linea?”, per dimostrare di essere operativo. Il nocciolo della questione è proprio in questo punto, in pratica non viene effettuato alcun controllo su quello che l’impiegato comunica all’esterno in relazione a una richiesta ingannevole del cliente.
Questo significa che se per gioco il cliente dicesse all’impiegato “centouno parole, pronto?” il dipendente della banca replicherebbe con “pronto?” e aggiungerebbe altre parole, le prime cento a disposizione nella sua memoria, senza preoccuparsi di filtrare eventuali informazioni riservate come numeri di conto di altri clienti, password dispositive, ecc. Questa appena descritta è esattamente la vulnerabilità del protocollo OpenSSL che, sollecitato per mezzo di un heartbeat, fornisce informazioni che altrimenti dovrebbe rimanere cifrate.
…continua su EDICOLeA
Altri articoli di Antonio de Martino
IL MALWARE “REGIN” di Antonio de Martino (n.II_MMXV)
La società Symantec ha scoperto un nuovo tipo di malware operante dal 2008 su Internet, che avrebbe preso ogni tipo di informazione ai governi, ai gestori telefonici e ai suoi utenti, alle imprese grandi e piccole e ai privati cittadini.
NUOVA EDIZIONE DELLO STANDARD ISO 27001 PER LA SICUREZZA DELLE INFORMAZIONI di Antonio de Martino ( n.II_MMXIV )
Il 25 settembre 2013 è stata pubblicata la normativa ISO/IEC 27001:2013. Lo standard delinea i requisiti per l’implementazione e il miglioramento continuo del sistema di gestione della sicurezza delle informazioni nel contesto di un’organizzazione, indipendentemente dalla sua dimensione, tipologia o natura.
AGGIORNATO LO STANDARD DI SICUREZZA DEI DATI DI PAGAMENTO EFFETTUATI CON CARTE DI CREDITO di Antonio de Martino ( n.IV_MMXIII )
Il 7 Novembre 2013, è stata pubblicata la versione 3.0 dello standard “Payment Card Industry Data Security Standard”, meglio conosciuto come PCI-DSS. Si tratta di una raccolta di requisiti e raccomandazioni, che è stata sviluppata dal Payment Card Industry Security Standard Council (PCI SSC), che definisce le misure di protezione dei processi di gestione e trattamento dei dati provenienti dai pagamenti effettuati attraverso carta di credito.
La nuova sezione “navivazione sicura” nel rapporto di trasparenza di Google di Antonio de Martino ( n.III_MMXIII )
Nella nuova sezione ”Navigazione sicura” del Rapporto di Trasparenza (Transparency Report) pubblicato da Google sono elencati i siti web non sicuri, affinché utenti e webmaster possano evitarli così da non subire danni. Le informazioni si basano sugli avvisi rilevati da Google Chrome, Mozilla Firefox e Apple Safari, utilizzati ogni settimana da decine di milioni di utenti che tentano di visitare siti web che carpirebbero loro informazioni personali o installerebbero software ideati per assumere il controllo dei loro computer.
MICROSOFT SECURITY INTELLIGENCE REPORT: IL 24% DEI COMPUTER NON HA L’ANTIVIRUS di Antonio de Martino ( n.II_MMXIII )
Microsoft Security Intelligence Report - Volume 14 - July through December, 2012. Microsoft ha pubblicato la versione aggiornata del suo rapporto sulla sicurezza, constatando che il 24 % dei PC è privo di antivirus, antimalware o di qualsiasi altra protezione contro i pericoli informatici provenienti dalla rete.
