Al cuore Ramon

Giugno 10, 2015
Programmazione

Al cuore Ramon: parliamo di HeartBleed il bug che ha colpito l’openSSL, la libreria software di crittografia.

Al cuore Ramon HeartBleed

Parafrasando la frase dal film “Per un Pugno di dollari” di Sergio Leone: “Al cuore Ramon…” parliamo di HeartBleed il bug che ha colpito l’openSSL, la libreria software di crittografia.

Questa debolezza permette di rubare le informazioni protette in condizioni normali, dalla crittografia SSL / TLS utilizzata per la sicurezza in Internet: SSL / TLS fornisce la sicurezza della comunicazione e privacy su Internet per applicazioni quali: web, email, instant messaging (IM) e alcune reti private virtuali (VPN).

Cos’è Heartbleed

Dettagliatamente, il bug denominato Heartbleed, formalmente identificato mediante il codice CVE-2014-0160 con cui è catalogato nel database Common Vulnerabilities and Exposures, tecnicamente non è altro che un classico e banale caso di “memory out of bound”, ossia di accesso ad un’area di memoria indebita a causa di un indice inizializzato male ed in assenza di controlli specifici atti ad impedirlo.

Un errore insidioso ma tra i più comuni, specie tra i programmatori principianti, favorito dal fatto che linguaggi come il C per motivi di efficienza non effettuano automaticamente a run-time il controllo del superamento dei limiti. [Fonte –> https://punto-informatico.it/4033843/PI/Commenti/insicurezze-insostenibile-leggerezza-del-software.aspx ]

In sostanza, questo significa che, potenzialmente, un sacco di utenti di Internet sono interessati, infatti:

le password
le comunicazioni private
perfino le carte di credito

potrebbero essere disponibili agli hacker per gentile concessione di questo bug scoperto di recente.

Quali versioni di OpenSSL sono interessate?

OpenSSL 1.0.1 attraverso 1.0.1f (compreso) sono vulnerabili
OpenSSL 1.0.1g non è vulnerabile
OpenSSL 1.0.0 ramo non è vulnerabile
OpenSSL 0.9.8 ramo non è vulnerabile

Alcune distribuzioni del sistema operativo che sono fornite con la versioni OpenSSL potenzialmente vulnerabili:

Debian Wheezy ( stabile) , OpenSSL 1.0.1e – 2 + deb7u4
Ubuntu 12.04.4 LTS , OpenSSL 1.0.1 – 4ubuntu5.11
CentOS 6.5 , OpenSSL 1.0.1e -15
Fedora 18 , OpenSSL 1.0.1e -4
OpenBSD 5.3 ( OpenSSL 1.0.1c 10 maggio 2012 ) e 5.4 ( OpenSSL 1.0.1c 10 maggio 2012 )
FreeBSD 10.0 – 1.0.1e OpenSSL 11 Feb 2013
NetBSD 5.0.2 ( OpenSSL 1.0.1e )
OpenSUSE 12.2 ( OpenSSL 1.0.1c )

Distribuzione del sistema operativo con le versioni che non sono vulnerabili :

Debian Squeeze, ( oldstable ) , OpenSSL 0.9.8o – 4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – 0.9.8y OpenSSL 5 Feb 2013
FreeBSD 9.2 – 0.9.8y OpenSSL 5 Feb 2013
FreeBSD 10.0p1 – 1.0.1g OpenSSL ( At 8 Apr 2014 18:27:46 UTC )
FreeBSD Ports – 1.0.1g OpenSSL ( At 7 Apr 2014 21:46:40 UTC )

Come possiamo fixare OpenSSL ?

Certo, anche se la correzione del codice può apparire banale, dovrebbe essere usata la versione 1.0.1g o quella più recente .

Se questo non è possibile, gli sviluppatori possono ricompilare OpenSSL, rimuovendo dal codice in fase di compilazione:

<<<-DOPENSSL_NO_HEARTBEATS>>> [ Fonte –> https://heartbleed.com/ ]

A questo scopo cosa è utile fare per tutti gli utenti che possono essere stati interessati dal “BUG” visto che il protocollo OpenSSL viene usato dai social network, banche, società di vendita eccetera?

Sicuramente cambiare la propria password rendendola univoca, per il servizio a cui è destinata:

NATURALMENTE QUESTO E’ BUONA NORMA SEMPRE, COME LO E’ CAMBIARLA SPESSO!

Per approfondire e sapere chi è stato colpito/interessato dal bug, cosa consigliano di fare, i social network, le banche, le varie società:

link –> https://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Due parole per il mondo linux:

Infatti in questo blog https://blog.matthewdfuller.com/2014/04/how-to-fix-openssl-heart-bleed-bug-on.html trovate buone indicazioni, per ubuntu, su come controllare se siete interessati dal bug e come risolvere.