Heartbleed

Da Wikipedia, l'enciclopedia libera.
Logo che rappresenta il bug Heartbleed. La compagnia Codenomicon ha creato il logo ed il nome per diffondere la conoscenza del problema.[1]

Heartbleed è un bug di sicurezza che si trova nella libreria crittografica open-source, OpenSSL, ampiamente utilizzata per implementare il protocollo Transport Layer Security.[1]

Heartbleed è registrato nel sistema Common Vulnerabilities and Exposures con il codice CVE-2014-0160.[1][2]

Problema tecnico e scoperta della vulnerabilità[modifica | modifica sorgente]

Attacco

Questa vulnerabilità è dovuta all'assenza di controlli nella gestione dell'estensione heartbeat del protocollo TLS. Una versione corretta di OpenSSL è stata rilasciata il 7 aprile 2014, mentre la notizia della vulnerabilità veniva diffusa. Prima del 7 aprile si stima che circa il 17%, ovvero mezzo milione di server web sicuri, certificati da autorità fidate, siano stati vulnerabili all'attacco, permettendo il furto delle chiavi private del server e delle password e cookie degli utenti.[3]

Soluzione[modifica | modifica sorgente]

Il giorno della notizia il Tor Project ha consigliato a chiunque cerchi forte anonimato o privacy di non utilizzare Internet per alcuni giorni, finché la situazione non si sia ristabilita.[4]

Stando alle dichiarazioni della Electronic Frontier Foundation il bug avrebbe causato molti meno danni se la maggior parte dei siti avesse supportato la perfect forward secrecy, in quanto le sessioni precedenti ad un attacco Heartbleed, sarebbero rimaste indecifrabili.[5]

La Free Software Foundation ha fatto notare che è stato possibile individuare e correggere la vulnerabilità solo grazie al fatto che OpenSSL è FOSS, ed ha dichiarato che il software libero è fondamentale per garantire il corretto funzionamento dell'intera rete Internet.[6]

Utilizzo e compromissioni[modifica | modifica sorgente]

La presenza di tale bug pur essendo emersa nel 2014, era stata già scoperta nel 2012 dalla NSA, la quale avrebbe sfruttato tale falla per controllare criminali e terroristi.[7]

Oltre alle comunicazioni software, anche la veicolazione hardware può aver subito l'influenza di tale vulnerabilità, in particolar modo i router. Alcuni produttori hanno dichiarato che alcuni hardware di loro produzione sono affetti da questo problema e potrebbe essere necessario la loro sostituzione.[8]

Note[modifica | modifica sorgente]

  1. ^ a b c Sito dedicato ad Heartbleed dalla Codenomicon.
  2. ^ Codice CVE.
  3. ^ Paul Mutton (8 Aprile 2014), Half a million widely trusted websites vulnerable to Heartbleed bug.
  4. ^ 7 Aprile 2014, gli sviluppatori di Tor informano gli utenti di Heartbleed.
  5. ^ 8 Aprile 2014, dichiarazioni della Electronic Frontier Foundation.
  6. ^ 8 Aprile 2014, John Sullivan, direttore esecutivo della Free Software Foundation.
  7. ^ La NSA conosceva Heartbleed da due anni.
  8. ^ Heartbleed, coinvolto anche hardware.

Altri progetti[modifica | modifica sorgente]