Heartbleed mette seriamente a rischio la sicurezza informatica

HeartbleedPenso sia importante per gli IT manager (e non solo) avere cruciali conoscenze per la sicurezza delle nostre reti, per cui mi sono permesso di scrivere e divulgare le informazioni che ho raccolto nell’ultimo mese su Heartbleed la backdoor del decennio.

le backdoor in informatica sono le “porte del retro” che consentono di superare in parte o in tutto le procedure di sicurezza attivate in un sistema informatico.

 

Cos’è Heartbleed e quali rischi comporta

Partiamo dall’inizio [tratto da “Come difendersi da Heartbleed” articolo apparso su Zeus News (C) by Paolo Attivissimo – www.attivissimo.net]:

Heartbleed è il nome informale dato a un errore di programmazione (CVE-2014-0160) che da due anni è presente nella libreria software crittografica OpenSSL versione 1.0.1, che è usata o è stata usata da due terzi dei siti Internet del mondo per proteggere le comunicazioni sensibili (principalmente scambi di password) e per autenticarsi (far chiudere il lucchetto nei browser).

  • Almeno mezzo milione di siti risulta essere vulnerabile.
  • L’errore è già stato corretto nella nuova versione di OpenSSL (la 1.0.1g).
  • Si presume si tratti di errore e non di sabotaggio intenzionale.
  • L’errore è stato scoperto indipendentemente da due gruppi di ricercatori (Riku, Antti e Matti a Codenomicon e Neel Mehta di Google Security) e annunciato pubblicamente il 7 aprile scorso.
  • Spetta ai responsabili della sicurezza dei singoli siti aggiornarsi installando la nuova versione di OpenSSL.
  • L’errore consente a un aggressore, senza interagire con i computer/dispositivo della vittima, di acquisire dati riservati (mail, password, documenti, numeri di carte di credito) trasmessi dai siti che usano OpenSSL.
  • Cosa ancora più grave, l’errore consente a un sito gestito da un aggressore di spacciarsi per un sito attendibile in modo assolutamente realistico (lucchetto chiuso, https).
  • Sono a rischio webmail, social network e anche VPN [Virtual Private Network].
  • Non sappiamo quanto questa falla è stata sfruttata, perché l’aggressione non lascia tracce. Dobbiamo presumere il peggio. Alcune tracce indicano che viene sfruttata da molti mesi.
  • Yahoo, Flickr, Imgur sono fra i principali siti che risultano essere (o essere stati) vulnerabili: i ricercatori hanno dimostrato di riuscire a estrarre password e indirizzi di e-mail di Yahoo sfruttando questa falla. Tutti i siti citati ora sono a posto e non sono più vulnerabili.
  • Non ci sono aggiornamenti di sicurezza da installare sui computer, tablet o telefonini di noi utenti, ma chi ha un computer che ospita un sito Web oppure un NAS pubblicato dovrà verificare se sta usando la versione vulnerabile di OpenSSL.
  • Non fa differenza se usate Mac OS, Linux, Windows, Android, iOS e se usate un computer o un tablet o uno smartphone: sono tutti vulnerabili allo stesso modo.
  • Ci vorrà tempo perché la falla sparisca da Internet: i singoli siti devono installare la versione aggiornata del software OpenSSL e poi devono generare una nuova coppia di chiavi di sicurezza e aggiornare il proprio certificato SSL. Considerata la ressa che ci sarà per fare queste cose presso le autorità che emettono certificati, il problema si trascinerà probabilmente per alcune settimane.
  • La parte più difficile sarà rimuovere la falla da NAS, firewall e sistemi embedded. Cisco, per esempio, ha annunciato che almeno tredici dei suoi sistemi di telefonia IP e server di comunicazione e messaggistica sono vulnerabili e vanno aggiornati.

Cosa occorre fare

Controllate se i siti che visitate sono vulnerabili o si sono aggiornati, immettendone il nome in ssllabs.com/ssltest oppure filippo.io/Heartbleed/. Se un sito risulta vulnerabile, non interagite con esso fino a che non si aggiorna. Non cambiate la vostra password: è inutile se il sito non si aggiorna. La nuova password verrebbe letta dagli aggressori.

  • Se un sito risulta non vulnerabile, visitatelo e cambiate immediatamente la vostra password.
  • Non usate la stessa password per siti differenti: se lo fate, mai come oggi è il momento di smettere di essere così pigri e imprudenti.
  • Non fidatevi di mail o altri messaggi che vi invitano a cliccare su un link per aggiornare le vostre password: sono quasi sicuramente trappole di criminali.
  • Non seguite link a siti presso i quali avete un account: digitate a mano il nome del sito nel vostro browser.
  • Se avete NAS, Firewall o Server esposti a Internet, aggiornateli appena possibile, sempre che le case produttrici abbiamo rilasciato gli aggironamenti

Considerazioni generali

  • Si sa chi è il “colpevole”: lo sviluppatore tedesco Robin Seggelmann, che ha materialmente inserito la modifica errata il 31 dicembre 2011 alle 23:59:57 (almeno stando ai log), ma anche il suo collega revisore Stephen Henson che non ha visto l’errore.
  • Gli errori di questo genere avvengono perché un elemento vitale della sicurezza come OpenSSL viene gestito da un numero molto modesto di esperti volontari non pagati. Se le aziende che usano questo software per fare milioni di guadagni donassero qualcosa al progetto OpenSSL, avremmo più occhi a sorvegliare la qualità del software.
  • Allo stato attuale sembra improbabile che l’errore sia stato introdotto -intenzionalmente da parte di agenzie governative come NSA per facilitare le intercettazioni, ma è presumibile che queste agenzie abbiano notato e sfruttato la falla.

Il problema è veramente serio. Credo che sia il più grave della storia recente di Internet in termini di pervasività e danno potenziale. Bruce Schneier, uno dei massimi esperti mondiali di sicurezza, l’ha definito senza mezzi termini “catastrofico”.
Le autorità svizzere, specificamente la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI, hanno pubblicato un dettagliato comunicato (in francese e tedesco).

Documentazione

Chi è risultato vulnerabile?

Il primo ad ammettere il problema è stato Yahoo! [Guarda il video]
Ma la lista dei nomi più famosi che ha scoperto di avere sistemi affetti dal problema è spaventosa:
Sophos
Watchguard
Cisco
HP
Vmware
F5
Fortinet
Checkpoint
IBM
Aruba
Juniper

E DELL-Sonicwall?

I NEXT GEN Firewall di Dell-SonicWALL [http://www.sonicwall.com/it/it/NON sono affetti dal baco per merito del design del sistema operativo interamente proprietario. Non è mai stata usata la libreria Openssl.
Ma DELL Sonicwall non si accontenta di essere immune: il sistema IPS dei firewall Dell-SonicWALL ha già le signatures per proteggere eventuali siti o servizi esposti che fossero ancora vulnerabili!
Questo significa che a dispetto di tutti gli altri vendor…. PROTEGGONO anche dagli errori altrui … ed è il loro mestiere dal 1991!
In attesa che i vostri Firewall vengano aggiornati, mettete un Dell-Sonicwall in Layer2Brige a protezione trasparente dei vostri server!
Dimenticavo: hanno già le signature per proteggere i client dagli ultimi bachi di sicurezza scoperti e dichiarati da Microsoft su Internet Explorer.
Siete certi che il vostro firewall faccia altrettanto?

A disposizione per approfondimenti.

Davide Vacca
Kaos Informatica 

Hai trovato utile questo articolo? Condividilo 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

* Devi selezionare la casella Accetto per inserire il tuo commento.

*

Accetto l'informativa sulla privacy e il trattamento dati personali

6 + 2 =