Umberto

Tecnico applicazioni web

Al cuore Ramon

Al cuore Ramon heartbleed

HeartBleed

Parafrasando la frase dal film “Per un Pugno di dollari” di Sergio Leone: “Al cuore Ramon…” parliamo di HeartBleed il bug che ha colpito l’openSSL, la libreria software di crittografia.

Questa debolezza permette di rubare le informazioni protette in condizioni normali, dalla crittografia SSL / TLS utilizzata per la sicurezza in Internet: SSL / TLS fornisce la sicurezza della comunicazione e privacy su Internet per applicazioni quali: web, email, instant messaging (IM) e alcune reti private virtuali (VPN).

Cos’è Heartbleed

Il bug denominato Heartbleed, formalmente identificato mediante il codice CVE-2014-0160 con cui è catalogato nel database Common Vulnerabilities and Exposures, tecnicamente non è altro che un classico e banale caso di “memory out of bound”, ossia di accesso ad un’area di memoria indebita a causa di un indice inizializzato male ed in assenza di controlli specifici atti ad impedirlo.

Un errore insidioso ma tra i più comuni, specie tra i programmatori principianti, favorito dal fatto che linguaggi come il C per motivi di efficienza non effettuano automaticamente a run-time il controllo del superamento dei limiti. [Fonte –> https://punto-informatico.it/4033843/PI/Commenti/insicurezze-insostenibile-leggerezza-del-software.aspx ]

In sostanza, questo significa che, potenzialmente, un sacco di utenti di Internet sono interessati, infatti:

  • le password
  • le comunicazioni private
  • perfino le carte di credito

potrebbero essere disponibili agli hacker per gentile concessione di questo bug scoperto di recente.

bug

Quali versioni di OpenSSL sono interessate?

  • OpenSSL 1.0.1 attraverso 1.0.1f (compreso) sono vulnerabili
  • OpenSSL 1.0.1g non è vulnerabile
  • OpenSSL 1.0.0 ramo non è vulnerabile
  • OpenSSL 0.9.8 ramo non è vulnerabile

Alcune distribuzioni del sistema operativo che sono fornite con la versioni OpenSSL potenzialmente vulnerabili:

  • Debian Wheezy ( stabile) , OpenSSL 1.0.1e – 2 + deb7u4
  • Ubuntu 12.04.4 LTS , OpenSSL 1.0.1 – 4ubuntu5.11
  • CentOS 6.5 , OpenSSL 1.0.1e -15
  • Fedora 18 , OpenSSL 1.0.1e -4
  • OpenBSD 5.3 ( OpenSSL 1.0.1c 10 maggio 2012 ) e 5.4 ( OpenSSL 1.0.1c 10 maggio 2012 )
  • FreeBSD 10.0 – 1.0.1e OpenSSL 11 Feb 2013
  • NetBSD 5.0.2 ( OpenSSL 1.0.1e )
  • OpenSUSE 12.2 ( OpenSSL 1.0.1c )

Distribuzione del sistema operativo con le versioni che non sono vulnerabili :

  • Debian Squeeze, ( oldstable ) , OpenSSL 0.9.8o – 4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 – 0.9.8y OpenSSL 5 Feb 2013
  • FreeBSD 9.2 – 0.9.8y OpenSSL 5 Feb 2013
  • FreeBSD 10.0p1 – 1.0.1g OpenSSL ( At 8 Apr 2014 18:27:46 UTC )
  • FreeBSD Ports – 1.0.1g OpenSSL ( At 7 Apr 2014 21:46:40 UTC )

Come possiamo fixare OpenSSL ?

Anche se la correzione del codice può apparire banale, dovrebbe essere usata la versione 1.0.1g o quella più recente .

Se questo non è possibile, gli sviluppatori possono ricompilare OpenSSL, rimuovendo dal codice in fase di compilazione:

<<<-DOPENSSL_NO_HEARTBEATS>>> [ Fonte –> https://heartbleed.com/ ]

Ok cosa è utile fare per tutti gli utenti che possono essere stati interessati dal “BUG” visto che il protocollo OpenSSL viene usato dai social network, banche, società di vendita eccetera?

Sicuramente cambiare la propria password rendendola univoca, per il servizio a cui è destinata:

QUESTO E’ BUONA NORMA SEMPRE, COME LO E’ CAMBIARLA SPESSO!

Per approfondire e sapere chi è stato colpito/interessato dal bug, cosa consigliano di fare, i social network, le banche, le varie società:

link –> https://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Due parole per il mondo linux:

In questo blog https://blog.matthewdfuller.com/2014/04/how-to-fix-openssl-heart-bleed-bug-on.html trovate buone indicazioni, per ubuntu, su come controllare se siete interessati dal bug e come risolvere.

APPROFONDIMENTI:

HEARTBLEED TEST –> https://filippo.io/Heartbleed/

Fonti citate per le informazioni e link utili

Cosa è OpenSSL –> https://it.wikipedia.org/wiki/OpenSSL

https://www.sitepronews.com/2014/04/08/heart-bleed-bug-compromise-large-part-internet/

https://heartbleed.com/

https://punto-informatico.it/4033843/PI/Commenti/insicurezze-insostenibile-leggerezza-del-software.aspx

https://www.sitepronews.com/2014/04/09/can-protect-heart-bleed-bug/

https://blog.matthewdfuller.com/2014/04/how-to-fix-openssl-heart-bleed-bug-on.html

https://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

https://mashable.com/2014/04/08/major-security-encryption-bug-heartbleed/

https://mashable.com/2014/04/17/heartbleed-digital-certificates/

Crediti per Immagine Bug –> https://www.onstagetechnologies.com/bug-report-nextpage-region-format-issue/

Heartbleed logo is free to use, rights waived via https://creativecommons.org/publicdomain/zero/1.0/

Sicuri….mai al 100%…

May the force be with you 

Alla prossima

UmMaWebDesign