Una vulnerabilità nel pacchetto OpenSSL; Heartbleed

La notizia del bug in OpenSSL ha ormai fatto il giro del mondo, e ha allarmato un sacco di gente. Il problema è che gli utenti non possono farci nulla. Il fatto che quasi tutti i siti del mondo fossero, e spesso ancora sono, vulnerabili a una falla che permette di rubare dati di qualsiasi tipo, compresi credenziali di accesso e dati sensibili, è un disastro che non possiamo fare altro che guardare impotenti.

Riassumendo, è stata scoperta una gravissima falla di programmazione in OpenSSL, una libreria usata da chi fa siti web e che si occupa di crittografare le informazioni, potenzialmente in grado di rendere intercettabili le chiavi crittografiche e i dati privati di alcuni dei più importanti siti e servizi del World Wide Web e di una miriade di siti minori.

 

Il baco è stato scoperto da un'azienda di sicurezza indipendente che si chiama Codenomicon, con la collaborazione di un Security Engineer di Google. La falla può essere facilmente sfruttata da cyber-criminali per rubare informazioni che dovrebbero essere protette dal codice SSL o TLS con relativa facilità.

OpenSSL è molto popolare, ed è una implementazione open-source dei protocolli SSL e TLS, in grado di abilitare la relativa protezione crittografica per un grandissimo numero di siti web; tanto per citarne uno, Apache web server - sul quale è basato ad occhio e croce mezzo internet - utilizza proprio OpenSSL.

Entrando nei dettagli, si scopre che la falla è dovuta ad una estensione che risale al Febbraio 2012 di OpenSSL, chiamata TLS Heartbeat Extension. Il bug è stato descritto con codice ID CVE-2014-0160 e permette a un hacker di leggere fino a 64Kb di memoria alla volta di un server o di un computer ad esso connesso. Esaminando la memoria 64kb alla volta, l'hacker può scovare senza problema tutte le chiavi, password e altre informazioni che dovrebbero essere crittografate.

TOP