Cerca
Close this search box.

Al cuore Ramon

Al cuore Ramon: parliamo di HeartBleed il bug che ha colpito l’openSSL, la libreria software di crittografia.

Al cuore Ramon HeartBleed

Al cuore Ramon heartbleed

Parafrasando la frase dal film “Per un Pugno di dollari” di Sergio Leone: “Al cuore Ramon…” parliamo di HeartBleed il bug che ha colpito l’openSSL, la libreria software di crittografia.

Questa debolezza permette di rubare le informazioni protette in condizioni normali, dalla crittografia SSL / TLS utilizzata per la sicurezza in Internet: SSL / TLS fornisce la sicurezza della comunicazione e privacy su Internet per applicazioni quali: web, email, instant messaging (IM) e alcune reti private virtuali (VPN).

Cos’è Heartbleed

Dettagliatamente, il bug denominato Heartbleed, formalmente identificato mediante il codice CVE-2014-0160 con cui è catalogato nel database Common Vulnerabilities and Exposures, tecnicamente non è altro che un classico e banale caso di “memory out of bound”, ossia di accesso ad un’area di memoria indebita a causa di un indice inizializzato male ed in assenza di controlli specifici atti ad impedirlo.

Un errore insidioso ma tra i più comuni, specie tra i programmatori principianti, favorito dal fatto che linguaggi come il C per motivi di efficienza non effettuano automaticamente a run-time il controllo del superamento dei limiti. [Fonte –> https://punto-informatico.it/4033843/PI/Commenti/insicurezze-insostenibile-leggerezza-del-software.aspx ]

In sostanza, questo significa che, potenzialmente, un sacco di utenti di Internet sono interessati, infatti:

  • le password
  • le comunicazioni private
  • perfino le carte di credito

potrebbero essere disponibili agli hacker per gentile concessione di questo bug scoperto di recente.

bug

Quali versioni di OpenSSL sono interessate?

  • OpenSSL 1.0.1 attraverso 1.0.1f (compreso) sono vulnerabili
  • OpenSSL 1.0.1g non è vulnerabile
  • OpenSSL 1.0.0 ramo non è vulnerabile
  • OpenSSL 0.9.8 ramo non è vulnerabile

Alcune distribuzioni del sistema operativo che sono fornite con la versioni OpenSSL potenzialmente vulnerabili:

  • Debian Wheezy ( stabile) , OpenSSL 1.0.1e – 2 + deb7u4
  • Ubuntu 12.04.4 LTS , OpenSSL 1.0.1 – 4ubuntu5.11
  • CentOS 6.5 , OpenSSL 1.0.1e -15
  • Fedora 18 , OpenSSL 1.0.1e -4
  • OpenBSD 5.3 ( OpenSSL 1.0.1c 10 maggio 2012 ) e 5.4 ( OpenSSL 1.0.1c 10 maggio 2012 )
  • FreeBSD 10.0 – 1.0.1e OpenSSL 11 Feb 2013
  • NetBSD 5.0.2 ( OpenSSL 1.0.1e )
  • OpenSUSE 12.2 ( OpenSSL 1.0.1c )

Distribuzione del sistema operativo con le versioni che non sono vulnerabili :

  • Debian Squeeze, ( oldstable ) , OpenSSL 0.9.8o – 4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 – 0.9.8y OpenSSL 5 Feb 2013
  • FreeBSD 9.2 – 0.9.8y OpenSSL 5 Feb 2013
  • FreeBSD 10.0p1 – 1.0.1g OpenSSL ( At 8 Apr 2014 18:27:46 UTC )
  • FreeBSD Ports – 1.0.1g OpenSSL ( At 7 Apr 2014 21:46:40 UTC )

Come possiamo fixare OpenSSL ?

Certo, anche se la correzione del codice può apparire banale, dovrebbe essere usata la versione 1.0.1g o quella più recente .

Se questo non è possibile, gli sviluppatori possono ricompilare OpenSSL, rimuovendo dal codice in fase di compilazione:

<<<-DOPENSSL_NO_HEARTBEATS>>> [ Fonte –> https://heartbleed.com/ ]

A questo scopo cosa è utile fare per tutti gli utenti che possono essere stati interessati dal “BUG” visto che il protocollo OpenSSL viene usato dai social network, banche, società di vendita eccetera?

Sicuramente cambiare la propria password rendendola univoca, per il servizio a cui è destinata:

NATURALMENTE QUESTO E’ BUONA NORMA SEMPRE, COME LO E’ CAMBIARLA SPESSO!

Per approfondire e sapere chi è stato colpito/interessato dal bug, cosa consigliano di fare, i social network, le banche, le varie società:

link –> https://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Due parole per il mondo linux:

Infatti in questo blog https://blog.matthewdfuller.com/2014/04/how-to-fix-openssl-heart-bleed-bug-on.html trovate buone indicazioni, per ubuntu, su come controllare se siete interessati dal bug e come risolvere.

APPROFONDIMENTI:

HEARTBLEED TEST –> https://filippo.io/Heartbleed/

Fonti citate per le informazioni e link utili

Cosa è OpenSSL –> https://it.wikipedia.org/wiki/OpenSSL

https://www.sitepronews.com/2014/04/08/heart-bleed-bug-compromise-large-part-internet/

https://heartbleed.com/

https://punto-informatico.it/4033843/PI/Commenti/insicurezze-insostenibile-leggerezza-del-software.aspx

https://www.sitepronews.com/2014/04/09/can-protect-heart-bleed-bug/

https://blog.matthewdfuller.com/2014/04/how-to-fix-openssl-heart-bleed-bug-on.html

https://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

https://mashable.com/2014/04/08/major-security-encryption-bug-heartbleed/

https://mashable.com/2014/04/17/heartbleed-digital-certificates/

Crediti per Immagine Bug –> https://www.onstagetechnologies.com/bug-report-nextpage-region-format-issue/

Heartbleed logo is free to use, rights waived via https://creativecommons.org/publicdomain/zero/1.0/

Sicuri….mai al 100%…

May the force be with you 

Alla prossima

UmMaWebDesign

Se ti è piaciuto L’articolo condividilo

Facebook
Twitter
WhatsApp
Email
LinkedIn

ORARI

ALTRI ORARI

inviare una email: pagina contatti

UmMawebdesign

Umberto Martire

P.Iva 01579290527

Iscriviti alla NewsLetters

Ricevi aggiornamenti su novità e promozioni!

Torna in alto
ummawebdesign-logo

Scopri come ho aiutato alcuni clienti a migliorare la visibilità del loro sito

Siteground per siti di successo
clicca l'immagine qui sotto per l'offerta!

Ad - Web Hosting SiteGround - Creato per semplificare la gestione del sito. Clicca per scoprire di più.