Viene minacciata nuovamente la privacy dei dati che corrono su internet, un nuovo bug di sicurezza (Heartbleed CVE-2014-0160) di OpenSsl, causato da una errata implementazione, mette a rischio i dati cifrati con SSL. Questa volta il bug è molto serio.
La debolezza permette di rubare le informazioni che in condizioni normali sono protette dalla cifratura SSL / TLS utilizzata in Internet, per esempio, dal protocollo Https .
Vi ricordo che il protocollo SSL garantisce la sicurezza e la privacy delle comunicazioni che viaggiano su Internt (ad esempio web, siti finanziari, email, vpn e altro ancora).
Il bug Heartbleed consente a chiunque su Internet di leggere la memoria dei server protetti da versioni openssl vulnerabili. Questa situazione permette di compromettere la chiave privata usata dal server che usa openssl e utilizzarla leggere traffico cifrato o le credenziali degli utenti.
In altre parole è possibile intercettare le comunicazioni cifrate che viaggiano su Internet o rubare i dati direttamente dai servizi o dagli utenti o, ancora, impersonare servizi/siti in maniera illecita.
Versione di OpenSsl affette dal bug:
- OpenSSL 1.0.1 fino 1.0.1f (compreso) sono vulnerabili
- OpenSSL 1.0.1g non è vulnerabile
- OpenSSL 1.0.0 non è vulnerabile
- OpenSSL 0.9.8 non è vulnerabile
Il bug è stato introdotto per OpenSSL nel dicembre 2011 ed è stato fuori nel selvaggio dal OpenSSL rilascio 1.0.1 il 14 Marzo 2012.
OpenSSL versione 1.0.1g pubblicato il 7 Aprile 2014 corregge il bug.
Potete trovare maggiori informazioni attraverso il sito HeartBleed
Se volete testare il proprio sito e verificare se e’ affetto dal bug potete usare il sito HeartBleed Test
Vi consiglio, anche, di dare uno sguardo alle slide: “L’arte dell’intercettazione 2.0”
E’ fondamentale non solo aggiornare la versione di Openssl su un serve affetto ma anche revocare la chiave usata sino ad ora, soprattutto se il server eroga servizi (HTTPS, Vpn e altro) verso Internet.
