Heartbleed # 1






Logo [ 1 ] e schema di un attacco Heartbleed [ 2 ] ( da Wikipedia ).

1

L'amico Fabrizio Giuliani mi scrive nella discussione faccialibresca sui furti di account Google che hanno colpito anche amici miei [ 3 ] : “Heartbleed”.

Un grosso problema di sicurezza che ha infettato due-terzi della rete mondiale, e che è in corso di soluzione ... distratto da altro, me ne ero fregato.
L'occasione mi è buona per recuperare e organizzare un po' di info sull'argomento.

2

Glossario.

Heartbeat ( battito cardiaco ) è un segnale periodico che una macchina usa per segnalare lo stato attivo, la corretta esecuzione di attività, e per sincronizzare la propria attività con quella di altre macchine [ 4 ].

Heartbleed ( sanguinamento del cuore ) [ 5 , 6 ] è un bug ( falla ) di sicurezza nell'estensione TLS Heartbeats della libreria crittografica OpenSSL [ 7 ] che è un'implementazione open source del protocollo crittografico TLS - SSL [ 8 ] uno standard atto a salvaguardare la comunicazione dei dati trasmessi da una sorgente al destinatario, attraverso l'autenticazione, il controllo di integrità e la cifratura [ 9 ] degli stessi.

In due parole, il protocollo è stato definito per salvaguardare l'affidabilità di una comunicazione e la privacy dei soggetti che ne sono parte attiva attraverso il sito e il server che li mette in contatto così che, in caso di intercettazione del flusso di dati criptati, il malintenzionato non potrebbe leggerli correttamente e comprenderne forma e significato.

3

Cosa non ha funzionato, nel codice OpenSSL ?

Come mostrato nello schema che ho riprodotto sopra, l'estensione TLS Heartbeats omette di verificare che il numero di caratteri richiesti come risposta affermativa di attività rientri nella memoria prenotata come buffer [ 10 ] per la risposta, pertanto permette all'altro terminale di leggere la memoria adiacente al buffer ( buffer over-read [ 11 ] ) cioè gli scarica dati che dovrebbero essere protetti.
Fino a 64 KB di memoria dell'applicazione che sta maneggiando la comunicazione con la libreria Open SSL, vale a dire fino a 65536 caratteri ( vocali, consonanti, speciali ... chiave crittografica personale ... id ... password ... dati personali ... caratteristiche del pc ... altro ancòra ).
Se all'altro terminale si trova un hacker black hat ( detto anche cracker, crasi di “criminal hacker” ) ecco che i dati letti furbescamente possono essere usati per scopi criminosi, come il furto di identità elettroniche → lo scam [ 12 ] e il furto di denaro su carte di credito, il furto di informazioni riservate personali e/o lavorative a scopo di estorsione o spionaggio industriale ...

4

Un esempio pratico ?

Quando avete usato Facebook, Google, Wikipedia ... e il sito vi ha consigliato o imposto una “connessione sicura”, avete notato che il primo segmento dell'indirizzo ( lo schema dell'URL [ 13 ] ) nella barra del browser è cambiato da http ad https [ 14 ] e al suo fianco è apparso un lucchetto ( questo solo su alcuni browser, in altri - come SeaMonkey [ 15 ] - il lucchetto compare a piè di pagina ) :








Sicura un cazzo.

Le vostre comunicazioni ( inclusi i pagamenti con le carte di credito ) possono essere finite in pasto a chi conosceva il bug.
Come ha scritto efficacemente Giacomo Dotta su webnews.it il 9 aprile [ 16 ] :




Le comunicazioni veicolate tramite SSL consentono inoltre al browser di mostrare appositi simboli sulla barra degli indirizzi (es. un lucchetto), così che l’utente stesso possa sentirsi sicuro del fatto che i propri dati non saranno a disposizione di alcuno e potranno soltanto essere letti dal server remoto all’atto del loro utilizzo.
Lo spostamento verso una navigazione criptata e sicura era anzi caldeggiata ormai da tempo, poiché ritenuta garante della privacy degli utenti e della salubrità generale del Web.
Il bug scoperto in OpenSSL mette tutto in discussione poiché implica un problema all’interno del codice che avrebbe dovuto chiudere il lucchetto: ciò significa che OpenSSL non è sicuro e che pertanto le comunicazioni criptate non sono così segrete come si è fatto immaginare in passato.





Le vostre conversazioni e il materiale spedito tra voi e i vostri amici possono esseri stati estorti silenziosamente - ad esempio - dalla piattaforma principale di Facebook ( coinvolta nel programma di spionaggio Prism [ 17 ] nonostante le dichiarazioni impettite di Mark Zuckerberg [ 18 , 19 ] ... come vi suonano ora le garanzie di privacy garantita nella rete faccialibresca, siccome le conversazioni sono crittate ? ) e/o da alcuni servizi veicolati all'interno di essa.
E in molti altri siti.


5

Ma quali ambienti e siti sono ( stati ) pericolosi ?
 
Parecchi : il

17,6%

dei server mondiali gestiti con Apache [ 20 ] e altri sistemi che supportavano OpenSSL con il bug Heartbleed e ci ha girato il

66%

dei siti mondiali attivi [ 21 ].

Google ha dichiarato che la versione 4.1.1 di Android ( Jelly Bean ) è affetta dal bug → 50.000.000 di dispositivi mobili sono affetti dal bug [ 22 ].

Dropbox, Facebook, Google, Instagram, Pinterest, Tumblr, Yahoo! ... e altri colossi del web hanno usato la libreria di crittografia fallata : hanno ammesso che i loro servizi sono stati vulnerabili, e di avere rappezzato il problema con grave ritardo ( vedi lista completa, da sondaggio c|net : [ 23 ] ).
Diverse piattaforme videoludiche on-line ( Steam, Minecraft [ 24 ] ... ) ne sono state affette : [ 25 ].

...

Quindi, l'amico faccialibresco può avere ragione.


6

Ma chi ?

Robin Segelmann [ 26 , 27 ] è lo studente tedesco che all'Università di Duisburg-Essen [ 28 ] ha programmato l'estensione fallata per OpenSSL e l'ha proposta al direttivo dei principali programmatori ( 4 di cui solo 1 impegnato a tempo pieno nel progetto ) nel 2011.
L'inglese Stephen Norman Henson ( esperto in crittografia ! ) [ 29 ] ha valutato l'estensione, e l'ha inserita nel repository ( magazzino on-line ) del codice il 31 dicembre 2011.

TLS Heartbeats è diventata parte di OpenSSL nella distribuzione della versione 1.0.1 del 14 marzo 2012 [ 30 ].

...

Il 1° aprile 2014, il bug è stato scoperto simultaneamente - ? - da Neel Mehta del team della sicurezza di Google e dai ricercatori Riku, Antti e Matti della Codenomicon.
Sono passati più di due anni.
Il bug è stato così battezzato da un ingegnere della Codenomicon [ 31 ] azienda finnica dedicata alla sicurezza digitale, che ha anche ideato logo e dominio [ 32 ] [ 33 ].






7

Arriva la cavalleria ?

Due anni.
Durante i quali tanti controllori avrebbero dormito della grossa. Ma adesso, ci pensano proprio loro [ 34 ] : possiamo dormire sonni tranquilli, che sia il nostro turno ?
Dalla sezione NovaTech su ilsole24ore.com [ 35 ] :





[ ... ] le big company del web hanno deciso di passare al contrattacco, scucendo 3.6 milioni di dollari per prevenire una nuova Heartbleed.
Un progetto comune, totalmente no profit, denominato Core Infrastructure Initiative che ha alla base la Linux Foundation e che accorpa Google, Facebook, Microsoft, Amazon, Intel e altri grandi marchi digitali. Dodici società che si impegnano a donare 100mila dollari l'anno per i prossimi tre anni, per un progetto di prevenzione senza precedenti.
Perché lo scopo principale di questa iniziativa comune è proprio imparare dagli errori del passato e non ripeterli.





8

Oh.

Se non siete già accecati dalle lacrime di commozione spese per il mecenatismo dei dodici loghi, leggetevi anche questa : “La NSA conosceva Heartbleed da due anni” [ 36 , 37 ].
Edward Snowden ne scriveva abbastanza esplicitamente già nel settembre scorso : [ 38 ].

Distrazione primigenia o backdoor [ 39 ] ?

Se la NSA ha mollato quest'osso, significa che ne sta già rosicchiando altri.

9

Cosa fare ?


Certo, a questo punto sembra il caso di scomodare il proverbio “chiudere la stalla quando i buoi sono già scappati”.
Ma è comunque una buona occasione per prendere atto che, quando si è connessi a internet, la propria macchina è fisicamente connessa a un elevato numero di altre macchine, programmi ed utenti non sempre mossi da buone e socievoli intenzioni, e alzare la propria attenzione sul problema della sicurezza [ 40 ] nella rete.

Utente

1 - cambiare la password in ogni sito che si usa ( finora lo ha fatto solo una minoranza degli utenti ! );
2 - attivare la verifica in due passaggi dell'account, dove possibile ( ad esempio su Facebook [ 41 ], Google [ 42 ] ... );

3 - verificare se il sito cui si vuole accedere per scambiare dati sta usando una versione fallata di OpenSSL con uno dei tanti test on-line gratuiti [ 43 , 44 ... ];

...

Amministratore

Aggiornare la versione di OpenSSL dalla 1.0.1 ( e successive ) alla 1.0.1g [ 45 ];

...

( continua )

Bookmark and Share

2 commenti:

  1. 100k$ all'anno...
    Per 'na roba come Google?
    Insomma, è come se io facessi un'elemosina di 2 centesimi di euro.
    (8|

    RispondiElimina
  2. C'è chi dice 300.000 $ cadauna ... però, per il progetto potrebbero anche bastare.
    Pensa che, ad esempio, nel 2013 OpenSSL ha raccolto la miseria di 3.600 $ in donazioni degli utenti !
    C'è il fatto, di una chiarezza scolpita nella pietra, che le grandi corporation amerikane ( con l'unica eccezione della giapponese Fujitsu ) hanno messo il cappello anche su questa costola di progettazione ... benedette e ospitate dalla Linux Foundation.

    RispondiElimina