Se sei una di quelle persone che hanno sempre creduto che la crittografia open source sia il modo più sicuro per comunicare online, ti sorprenderà un po '.
Questa settimana, Neel Mehta, un membro del team di sicurezza di Google, ha informato il team di sviluppo di OpenSSL che esiste un exploit con la funzione "heartbeat" di OpenSSL. Google ha scoperto il bug quando lavorava con la società di sicurezza Codenomicon per provare e hackerare i propri server. In seguito alla notifica di Google, il 7 aprile, il team di OpenSSL ha rilasciato il proprio Security Advisory insieme a una patch di emergenza per il bug.
Il bug è già stato soprannominato "Heartbleed" dagli esperti di sicurezza Esperto di sicurezza Bruce Schneier su password, privacy e fiducia Esperto di sicurezza Bruce Schneier su password, privacy e fiducia Ulteriori informazioni su sicurezza e privacy nella nostra intervista con l'esperto di sicurezza Bruce Schneier. Per saperne di più, poiché utilizza la funzione "heartbeat" di OpenSSL per ingannare un sistema che esegue OpenSSL nel rivelare informazioni riservate che potrebbero essere archiviate nella memoria di sistema. Mentre molte delle informazioni archiviate nella memoria potrebbero non avere molto valore per gli hacker, la gemma catturerebbe le stesse chiavi che il sistema utilizza per crittografare le comunicazioni. 5 modi per crittografare in sicurezza i tuoi file nel cloud 5 modi per crittografare i tuoi file in modo sicuro Cloud I tuoi file possono essere crittografati durante il transito e sui server del cloud provider, ma la società di cloud storage può decrittografarli e chiunque possa accedere al tuo account può visualizzare i file. Lato client ... Leggi altro.
Una volta ottenute le chiavi, gli hacker possono decifrare le comunicazioni e acquisire informazioni sensibili come password, numeri di carte di credito e altro. L'unico requisito per ottenere quelle chiavi sensibili è quello di consumare i dati crittografati dal server abbastanza a lungo da catturare le chiavi. L'attacco non è rilevabile e non è rintracciabile.
Il bug di Heartbeat OpenSSL
Le ramificazioni di questo difetto di sicurezza sono enormi. OpenSSL è stato istituito per la prima volta nel dicembre del 2011 e rapidamente è diventato una libreria crittografica utilizzata da aziende e organizzazioni in tutto il mondo per crittografare informazioni e comunicazioni sensibili. È la crittografia utilizzata dal server Web Apache, su cui sono costruiti quasi la metà di tutti i siti Web su Internet.
Secondo il team di OpenSSL, il buco della sicurezza deriva da un difetto del software.
"Un controllo dei limiti mancanti nella gestione dell'estensione heartbeat TLS può essere utilizzato per rivelare fino a 64k di memoria su un client o server collegato. Sono interessate solo le versioni 1.0.1 e 1.0.2-beta di OpenSSL, tra cui 1.0.1f e 1.0.2-beta1. "
Senza lasciare tracce sui log del server, gli hacker potrebbero sfruttare questa debolezza per ottenere dati crittografati da alcuni dei server più sensibili su Internet, come server web di banche, server di società di carte di credito, siti Web di pagamento di fatture e altro ancora.
La probabilità che gli hacker ottengano le chiavi segrete rimane comunque in dubbio, perché Adam Langley, un esperto di sicurezza di Google, ha pubblicato sul suo stream Twitter che i suoi test non hanno rivelato nulla di così sensibile come le chiavi di crittografia segrete.
L'Advisory sulla sicurezza del 7 aprile, il team di OpenSSL ha raccomandato un aggiornamento immediato e una soluzione alternativa per gli amministratori dei server che non possono eseguire l'aggiornamento.
"Gli utenti interessati dovrebbero eseguire l'aggiornamento a OpenSSL 1.0.1g. Gli utenti che non sono in grado di eseguire immediatamente l'aggiornamento possono in alternativa ricompilare OpenSSL con -DOPENSSL_NO_HEARTBEATS. 1.0.2 verrà risolto in 1.0.2-beta2. "
A causa della proliferazione di OpenSSL su Internet negli ultimi due anni, la probabilità che l'annuncio di Google porti a imminenti attacchi è piuttosto elevata. Tuttavia, l'impatto di tali attacchi può essere mitigato dal numero di amministratori di server e di responsabili della sicurezza che aggiornano i propri sistemi aziendali a OpenSSL 1.0.1g il prima possibile.
Fonte: OpenSSL