Heartbleed: paura e confusione! Facciamo un po’ di chiarezza.

Heartbleed
 
Circa 2 settimane fa (7 Aprile 2014), il mondo dell’informatica è stato sconvolto dalla notizia della scoperta di un bug, un “Malicious remote network traffic”, chiamato Heartbleed (CVE-2014-0160)*1 presente in OpenSSL.
Heartbleed è una vulnerabilità zero-day*10 che esiste, pare, dal Dicembre 2011.
 
Ok, il mondo informatico è pieno di bug e falle, perché questo Heartbleed (Cuore sanguinante) ha creato tutto questo clamore?
Perché OpenSSL*2 è una implementazione open source (Heartbeat Extension) dei protocolli SSL e TLS, i protocolli crittografici che garantiscono la sicurezza delle transazioni e delle comunicazioni tramite internet*3.
In pratica quando trasferiamo informazioni sensibili online (ad esempio il numero di carta di credito o una password) queste, per non essere lette da terzi, hanno bisogno di essere criptati, cioè di essere resi leggibili esclusivamente dal mittente e dal ricevente, mediante la condivisione di un codice comune ai due. OpenSSL serve proprio a questo, ovvero a trasformare i dati inviati dal mittente in una comunicazione criptata che può essere aperta e letta solo dal ricevente.
Avete presente il “lucchetto” e il prefisso “https” che ci appare nella barra degli indirizzi del browser quando dobbiamo inserire password o pin?
 
Yahoo barra web
 
Ecco, il lucchetto serve proprio per indicarci che siamo su un sito protetto. Moltissimi siti come Yahoo, Facebook, Dropbox, Instagram, Tumblr, Google e molti altri utilizzano questi protocolli (c’è chi parla di due terzi dei server mondiali).
Ma attenzione, anche alcuni apparati di rete (vedi Cisco e Juniper)*4, gli smartphone Android*5, Apache, molte distribuzioni Linux (Debian Wheezy, Ubuntu 12.04.4 LTS, Fedora 18 ed altre ancora) implementano OpenSSL. E la lista di utilizzatori sarebbe ancora molto lunga…
Al contrario sembra che non siano state colpite aziende come Paypal, Microsoft, Amazon, LinkedIn ed Apple poiché non utilizzerebbero Heartbeat.
 
 
Come funziona Heartbleed?
In pratica il bug invia un messaggio fake al server, facendogli credere di essere il computer del mittente (ovvero quello della connessione sicura) ottenendo così l’accesso ai dati presenti nella memoria temporanea del server stesso e quindi ai nostri dati potenzialmente sensibili (esempio dati di carte varie e password).
Molto carina ed esplicativa questa vignetta di xkcd:
 
heartbleed explanation web
 
 
Questo bug è stato scoperto da Codenomicon*6 (azienda di sicurezza informatica finlandese) e da Google Security (parte di Google che ricerca possibili falle nei propri sistemi informatici). Essi, uniti poi al team di OpenSSL si sono messi al lavoro per trovare una soluzione a questa falla.*7
Ovviamente le grandi aziende non appena hanno saputo della falla di sicurezza sono corse ai ripari ed OpenSSL ha messo a disposizione un aggiornamento del proprio sistema ma la situazione di emergenza non è ancora conclusa.
Dovranno anche aggiornare le Chiavi di Cifratura, ovvero i codici di decrittazione del loro traffico cifrato ed aggiornare i loro Certificati.*8
 
Detto questo, il semplice utente cosa può fare per difendersi?
 
Come riportato anche qui*9, penso anche io che non serva a nulla stare a cambiare le password se prima il sito non ha chiuso la falla.
Occorre prima verificare che il sito aggiorni o aspettare di avere conferme da esso in merito (negli ultimi giorni alcuni servizi online mi hanno mandato email in cui avvisavano della chiusura della falla chiedendomi di cambiare la password per sicurezza).
Inoltre altro passo da non sottovalutare è sicuramente quello di fare un logout da esso (non avete idea di quante persone sono costantemente loggate sui Social network e non escono mai – ma proprio mai) e pulire completamente le cache dei nostri browser – eliminando così i cookie di sessione (anche questa pratica poco usata dagli utenti comuni - perché lasciare la cache, dicono, è più comodo…).
 
Infine… Volete sapere se il vostro o se un determinato sito risulta vulnerabile?
 
Vi consiglio 2 tools online, il primo messo a punto dalla McAfee per verificarlo:
 
NB: Tutti i siti linkati per i test, come anche le app di Google Play Store, potrebbero non essere efficaci o esaustive. Leggi qui (Disclaimer) per ulteriori informazioni in merito.
 
 
Link:

Ehi! Ti potrebbero interessare anche questi articoli

Acqua e polvere: le certificazioni IP in dettaglio

Acqua e polvere: le certificazioni IP in dettaglio

Come ho già accennato in precedenti articoli, mi è capitato spesso negli ultimi 2-3 anni di consigliare ai miei clienti degli Smartphone con Certificazioni IP67 o IP68. Spesso mi sono sentito fare la domanda "Ma che significa?".

Continua a leggere

La certificazione Rugged MIL-STD-810G in dettaglio

La certificazione Rugged MIL-STD-810G in dettaglio

Sapevate che esistono degli smartphone che possono cadere da 1,2 metri di altezza senza rompersi? Che possono cadere nella neve e continuare a funzionare? Che non hanno problemi al caldo (fino a 40°)?

Continua a leggere

Meglio un Notebook o un Tablet? Puoi avere entrambi con i

Meglio un Notebook o un Tablet? Puoi avere entrambi con i "trasformabili".

Negli ultimi tempi capita spesso di porsi questa domanda al momento della scelta di un dispositivo portatile/mobile. Meglio un notebook con tastiera fisica o un tablet da usare magari in metro, a letto o sul divano?

Continua a leggere

Meglio un Tablet o un Notebook? Meglio [#1] un Acer Aspire Switch!

Meglio un Tablet o un Notebook? Meglio [#1] un Acer Aspire Switch!

Tutti i modelli hanno la protezione Corning Gorilla® Glass 3, sono IPS retroilluminati a LED e con schermo multi-touch. Tutti i display hanno colori brillanti e luminosi e un testo nitido con dettagli realistici. I colori risultano vivaci e nitidi da qualsiasi angolazione.

Continua a leggere

Meglio un Tablet o un Notebook? Meglio [#2] un Asus Transformer Book T100 series!

Meglio un Tablet o un Notebook? Meglio [#2] un Asus Transformer Book T100 series!

Tutti i modelli sono IPS retroilluminati a LED e con schermo multi-touch. Tutti i display risultano vivaci e nitidi da qualsiasi angolazione (178° di angolo di visione del Display).

Continua a leggere