Una vulnerabilità nel pacchetto OpenSSL; Heartbleed

La notizia del bug in OpenSSL ha ormai fatto il giro del mondo, e ha allarmato un sacco di gente. Il problema è che gli utenti non possono farci nulla. Il fatto che quasi tutti i siti del mondo fossero, e spesso ancora sono, vulnerabili a una falla che permette di rubare dati di qualsiasi tipo, compresi credenziali di accesso e dati sensibili, è un disastro che non possiamo fare altro che guardare impotenti.

Riassumendo, è stata scoperta una gravissima falla di programmazione in OpenSSL, una libreria usata da chi fa siti web e che si occupa di crittografare le informazioni, potenzialmente in grado di rendere intercettabili le chiavi crittografiche e i dati privati di alcuni dei più importanti siti e servizi del World Wide Web e di una miriade di siti minori.

 

Il baco è stato scoperto da un'azienda di sicurezza indipendente che si chiama Codenomicon, con la collaborazione di un Security Engineer di Google. La falla può essere facilmente sfruttata da cyber-criminali per rubare informazioni che dovrebbero essere protette dal codice SSL o TLS con relativa facilità.

OpenSSL è molto popolare, ed è una implementazione open-source dei protocolli SSL e TLS, in grado di abilitare la relativa protezione crittografica per un grandissimo numero di siti web; tanto per citarne uno, Apache web server - sul quale è basato ad occhio e croce mezzo internet - utilizza proprio OpenSSL.

Entrando nei dettagli, si scopre che la falla è dovuta ad una estensione che risale al Febbraio 2012 di OpenSSL, chiamata TLS Heartbeat Extension. Il bug è stato descritto con codice ID CVE-2014-0160 e permette a un hacker di leggere fino a 64Kb di memoria alla volta di un server o di un computer ad esso connesso. Esaminando la memoria 64kb alla volta, l'hacker può scovare senza problema tutte le chiavi, password e altre informazioni che dovrebbero essere crittografate.

TOP

NOTA! Questo sito utilizza i cookie e tecnologie simili.

Se non si modificano le impostazioni del browser, l'utente accetta. Per saperne di piu'

Approvo

Usiamo i cookie per assicurarti la migliore esperienza di utilizzo del sito. Continuando la navigazione nel sito senza cambiare la configurazione del tuo browser, potremo ritenere che accetti di ricevere cookie da questo sito.
In ogni caso, se preferisci, puoi modificare la configurazione dei cookie in qualunque momento. Tutti i moderni browser, infatti, ti consentono di modificare tali impostazioni. Abitualmente puoi trovare queste configurazioni nei menu "opzioni" o "preferenze" del tuo browser.