Posts Tagged ‘openssl’

Heartbleed /3

domenica 13 aprile 2014

Ho ancora due cose da dire. Poi la pianto, prometto.

La prima è che non è sufficiente cambiare la password quando sul server è stato aggiornato il software incriminato. Prima di cambiare le password bisogna che il server – il sito a cui vi collegate – abbia anche cambiato il certificato che ne attesta l’autenticità.

Se nel vostro browser cliccate sul lucchetto affianco all’indirizzo che visitate, potrete avere i dettagli di questo certificato, un piccolo file che vi assicura che il sito visualizzato è proprio quello che volete visitare. Se il certificato è stato emesso prima dell’8 aprile 2014 e (AND) il server era vulnerabile al baco heartbleed, allora cambiare password potrebbe essere inutile.

La seconda cosa da notare è come i vari servizi colpiti hanno reagito alla notizia. Ad oggi, fra i numerosi siti che uso, solo yahoo e tumblr hanno certificati nuovi. Solo tumblr ha mandato via mail un avviso di sicurezza, pregando i suoi utenti di cambiare la password. Chi gestisce la posta elettronica ci metterebbe un attimo a spedire a tutti le istruzioni su cosa fare dopo la scoperta di heartbleed. Ad oggi, google (gmail), yahoo, tiscali, fastweb, aruba (pec.it) e sicuramente ne dimentico altri, non hanno ancora avvisato personalmente i loro utenti su cosa devono fare (o NON devono fare). E fin qui sono solo gli affari nostri che sono visibili al primo pirata informatico che passa. Poi ci sono i servizi di vendita on line, che tralascio, altrimenti faccio notte ad elencarli. Tutti quelli che uso – e sono tanti – non mi hanno avvisato via mail su cosa fare. (Il loro spam, invece, arriva copioso.) Poi ci sono le banche on line. Ho a che fare con tre istituti di credito e nessuno mi ha ancora detto nulla. Ho spedito una mail di chiarimenti alla mia banca e ad oggi il silenzio. Domani telefono. Ho dei pensieri cattivi nei loro confronti…

PS: Ribadisco a scanso di equivoci. Non sto affermando che i servizi citati (e non) siano stati vulnerabili al baco heatbleed e/o siano stati violati. Sto dicendo che non hanno informato i loro utenti su cosa fare o NON fare, perché magari non colpiti dalla vulnerabilità.

Aggiornamento 17/04/2014:

Un’intervista al mio guru di fiducia Schneier.
Heartbleed, the Branding of a Bug, and the Internet of Things
by Scott Berinato

(Grazie e Giovanna Cosenza)

E il lato comunicativo del problema (da Kalzumeus blog):

What Heartbleed Can Teach The OSS Community About Marketing
di Patrick McKenzie

Aggiornamento 25/04/2014:

Mentre i modi per sfruttare il baco Heartbleed si fanno sempre più interessanti e aggressivi, rimaneva in sospeso un piccolo problema: chi ha finanziato fino a oggi le generose persone che sviluppano OpenSSL? Quasi nessuno. Banche, commercio online, socialcosi e chi più ne ha più ne metta (enti commercilai, non privati) usavano il codice senza sentirsi in dovere di dare le briciole di quanto guadagnavano usando OpenSSL. Risultato: il gruppo di sviluppo era ridotto ad un gruppo di poche persone. L’errore extra large era solo questione di tempo. Il seguito ce lo racconta Paolo Attivissimo:

Heartbleed, scappati i buoi qualcuno finanzia il recinto

Heartbleed /2

venerdì 11 aprile 2014

Segnalo una vignetta di xkcd efficacissima nello spiegare il problema software che ci sta dietro al baco:

How the Hertbleed bug work

(Mi lancio nella traduzione!
Titolo: Come funziona il baco Heartbleed

Meg: Server, sei ancora lì? Se sì, rispondi “POTATO” (6 lettere)
Macchina: Meg vuole queste 6 lettere: POTATO
Meg: Server, sei ancora lì? Se sì, rispondi “BIRD” (4 lettere)
Macchina: Meg vuole queste 4 lettere: BIRD
Meg: Server, sei ancora lì? Se sì, rispondi “HAT” (500 lettere)
Macchina: Meg vuole queste 500 lettere: HAT e tutto quello che ho in memoria dopo HAT per 500 lettere.
[Meg prende appunti.] )

Heartbleed – una catastrofe!

mercoledì 9 aprile 2014

Segnalo questo articolo de ilPost:

La falla più pericolosa di Internet
È enorme e potenzialmente riguarda due terzi dei server che fanno funzionare il Web: quelli che utilizzano il sistema OpenSSL per la posta, i social network e molte altre cose

Per profani: dei ricercatori hanno scoperto un errore di programmazione (bug) che consente di rubare le password (e non solo!) da tutte le connessioni che consideriamo sicure. (Tutte le connessioni che usano il protocollo https: banche, posta, facebook, eccetera) Siccome al peggio non c’è mai fine, il bug coinvolge i due terzi dei server che consideravamo sicuri. Per rendere la catastrofe completa l’attacco è assolutamente invisibile. In altre parole non c’è modo di sapere in modo certo se (e come) in passato i pirati informatici abbiano usato questo baco per carpire informazioni riservate.

Cosa possiamo fare noi utonti, oggi? Cambiare password. Sì, ma è utile farlo dopo che i server che usiamo hanno aggiornato il loro software fallato. Non è facile sapere se yahoo, tanto per fare un esempio, ha aggiornato i suoi server, perché all’indirizzo mail.yahoo.com corrispondono diversi server fisici sparsi per il mondo. Prima di cambiare password bisogna che siano tutti aggiornati. Personalmente aspetterò qualche giorno prima di cambiare le password più importanti.

Per il resto speriamo bene…

In inglese, Schneier qui.

Aggiornamento 10/04/2014:
Dimenticavo una cosa importante, per assaporare meglio la catastrofe: questo baco c’è da due anni. Non è meraviglioso?

Altre info tecniche, ma comprensibili ai più, da Paolo Attivissimo:

Heartbleed, falla di sicurezza senza precedenti ferma Internet. Come difendersi

Per controllare se è ora di cambiare la password dei servizi che usate (da CNET, in inglese):

Which sites have patched the Heartbleed bug?
We compiled a list of the top 100 sites across the Web, and checked to see if the Heartbleed bug was patched.
by Jason Cipriani

Lo ripeto sempre, ma rimango spesso inascoltato: UNA PASSWORD DIVERSA PER OGNI SERVIZIO. Mai, mai, mai, una password per tutti i servizi.

Aggiornamento 11/04/2014:

Sempre da ilPost:

La falla Heartbleed non riguarda solo i siti
Il grave problema di sicurezza del sistema OpenSSL interessa diversi aggeggi che si collegano a Internet (e serve davvero cambiare le password?)

Dove si racconta che il baco è presente in oggetti che non consideriamo pc o server. E sì, cambiare la password serve, come serve averne una diversa per ogni servizio e come serve cambiarla periodicamente, proprio per mitigare i danni derivanti da questo genere di disgrazie informatiche. Come utenti è l’unica cosa che possiamo e dobbiamo fare.