Senza farla troppo lunga, stiamo parlando di un problema rilevato all’interno della libreria OpenSSL responsabile del processo di cifratura e decifratura delle comunicazioni su Internet. Il problema, che è stato spiegato in maniera molto efficace da una vignetta del famoso XKCD (https://xkcd.com/1354/), consiste nell’errata implementazione di un controllo, nel software che regolamenta alcune funzionalità del protocollo, che permette di accedere a dati presenti nella memoria non di pertinenza della sessione in corso.
Detta così può sembrare banale, ma se pensiamo che la libreria OpenSSL gestisce appunto le sessioni cifrate della nostra navigazione, quando usiamo https sul browser in pratica, e tutte le sessioni cifrate di autenticazione ad esempio della posta elettronica attraverso il protocollo TLS, capiamo bene che l’impatto può essere devastante.
Perché tutto questo clamore intorno a questo bug? Sicuramente per la prima volta chi ha divulgato la vulnerabilità ha usato una strategia di marketing molto avanzata rispetto alla normale comunicazione tecnica che avviene in questi casi, ha creato un logo, ha registrato un domino ad esempio, e questo sicuramente ne ha facilitato la diffusione.
Oltre a questo però bisogna capire che sfruttando questa vulnerabilità è possibile leggere sul server e da remoto una parte di memoria utilizzata dai programmi che utilizzano OpenSSL ad esempio per altre sessioni: nel corso di alcune prove empiriche è stato dimostrato che in determinate condizioni è possibile entrare in possesso della chiave privata utilizzata dal server per decifrare le comunicazioni, degli username e delle password di altri utenti che si sono autenticati su quel server prima di noi.
L’altro aspetto da tenere fortemente in considerazione riguarda l’enorme diffusione che la libreria OpenSSL ha avuto in questi anni e come questa sia utilizzata in tantissimi apparati apparentemente proprietari e che spesso servono proprio a proteggere le reti aziendali da eventuali intrusioni.
Non solo, il bug è stato introdotto nella libreria dal 2011 e quindi per parecchi anni ha potuto diffondersi in maniera molto capillare, tra l’altro la libreria è usata per cifrare tutte le comunicazioni, dal web alla posta elettronica passando per i social network e arrivando alle VPN aziendali.
E’ facile quindi immaginare come questa notizia ha creato il panico negli ambienti IT e in chi gestisce le reti. Cerchiamo di capire quali possono essere gli impatti di questa vulnerabilità:
– Se si viene in possesso della chiave privata del server, è possibile decifrare comodamente le comunicazioni che sono avvenute tra il server e i client, anche in passato, quindi se qualcuno ha “registrato” le conversazioni cifrate avrà la possibilità di decifrarle.
– Accedendo alla memoria dei server è possibile entrare in possesso di credenziali di accesso e di altre informazioni utili e sensibili richieste in quel momento o poco prima da altri utenti, il bug permette di farsi mandare fino a 64K di memoria alla volta, che sembrano pochi, ma non lo sono per niente: immaginate che ai tempi del Commodore ci giravano interi videogame J in 64K di memoria.
– Molti articoli si sono concentrati sul problema analizzando gli impatti legati ai server, il bug però è bidirezionale perché la libreria OpenSSL implementa il medesimo meccanismo anche sui client, è quindi possibile che qualcuno metta in piedi un server malicious che legge la memoria degli utenti che ci si collegano in SSL, quindi anche i client sono esposti ai pericoli del bug.
Quest’ultimo aspetto è stato poco enfatizzato ma rappresenta comunque un grosso problema di sicurezza: come potete capire buona parte del meccanismo di comunicazione sicura che è alla base di Internet, è stato compromesso e questo unito a una buona dose di marketing ha creato panico, e per la prima volta con una simile forza e insistenza, un BUG di sicurezza è stato annunciato dai quotidiani nazionali e dai TG di mezzo mondo.
Per proteggersi bisogna:
– Aggiornare i server e rigenerare le chiavi.
– Aggiornare i client (e nel caso ci siano le chiavi rigenerarle.)
– Cambiare le password a tutto
– Verificare attentamente con i vendor se gli appliance (router, firewall, vpn concentrator, IPS, WAF, UTM ecc.) che utilizzate sono vulnerabili e se sono stati rilasciati i firmware aggiornati.
La risposta dei vendor (a cura di Anna Ferrari)
Ovviamente ampia e consistente la mobilitazione dei grandi nomi della sicurezza di fronte ad un simile allarme. I laboratori di Trend Micro hanno per esempio rilevato in quetsi giorni che le app mobili sono state colpite dalla vulnerabilità Heartbleed e che la versione Android 4.1.1 ora si può attaccare direttamente
Contrariamente a quanto si pensava fino a poco tempo fa, cioè che le app potessero essere colpite solo tramite la connessione di server infetti, oggi non è più così. I laboratori di Trend Micro, infatti, hanno rivelato che la versione di Android 4.1.1 è stata attaccata direttamente.
Tutte le app installate con OpenSSL, che viene utilizzato per stabilire le connessioni SSL/TLS che riguardano i dispositivi che si avvalgono di questo sistema operativo, pare possano essere infette e di conseguenza possono essere compromesse e quindi c’è il rischio che le informazioni sensibili dei proprietari dei device risultino a rischio.
Ma anche se il dispositivo non utilizza il sistema operativo compromesso, resta comunque il problema delle app. In Google Play le app collegate alle librerie OpenSSL attaccate sono 273 e ne consegue che le stesse app possono risultare compromesse in qualunque altro device; inoltre, delle vulnerabilità sono state trovate anche nelle versioni più vecchie delle app Google.
Attualmente, i laboratori Trend Micro, per quanto riguarda gli aggiornamenti delle app connesse ai server colpiti da Heartbleed, ne hanno localizzate oltre 7.000, mentre le app ancora infette risultano essere 6.000.
Trend Micro ha cercato di venire in aiuto di Google avvisandolo e creando il “Trend Micro OpenSSL Heartbleed Scanner” per Chrome per mezzo del quale si può verificare quali URL possono essere compromessi.
Non solo, la multinazionale della sicurezza ha anche ha reso disponibile per tutti gli utenti Heartbleed Detector che si trova gratuitamente all’interno del Google Play app store con l’intento di contrastare le app colpite da Heartbleed.
Heartbleed Detector verifica se la versione di OpenSSL che viene utilizzata attraverso il sistema operativo Android del dispositivo è vulnerabile; verifica inoltre, se ci sono librerie OpenSSL vulnerabili nelle app installate e controlla se le app presenti sul dispositivo comunicano con server che non sono ancora stati messi in sicurezza, e grazie alla tecnologia MARS, solo Trend Micro Heartbleed Detector può rispondere al problema.
Nel momento in cui si trova una app vulnerabile, Detector può disinstallarla automaticamente. I laboratori Trend Micro consigliano di non disinstallare subito le app vulnerabili, ma di considerare questa eventualità nel caso in cui le app abbiano accesso a informazioni critiche; comunque, è consigliabile contattare i produttori delle app per verificare il loro stato di aggiornamento patch.
Esistono poi altri mezzi per controllare se si è stati attaccati da Heartbleed, infatti, si consiglia per gli utenti Chrome “Trend Micro OpenSSL Heratbleed Scanner” e per tutti gli altri utenti “Trend Micro Heratbleed Detector page”.
La risposta di McAfee
Dal canto suo McAfee, società parte di Intel Security, interamente controllata da Intel Corp., ha rilasciato un tool gratuito che consente agli utenti di capire in maniera semplice e immediata se rischiano di essere colpiti dagli effetti pericolosi del bug Heartbleed, una vulnerabilità del codice di crittografia OpenSSL che ha già messo a rischio milioni di informazioni.
Digitando il nome del dominio del sito Web nello strumento Heartbleed Checker (http://www.mcafee.com/heartbleed), è possibile capire se i siti che si frequentano sono stati colpiti da Heartbleed o se sono stati aggiornati alla versione di OpenSSL che risulta essere insensibile al bug.
Si suppone che il bug Heartbleed possa interessare fino a due terzi di tutti i siti Web; si tratta di una vulnerabilità nel software di crittografia OpenSSL, una falla che potrebbe permettere a un utente con cattive intenzioni di accedere alla memoria di sistema e arrivare così alle informazioni riservate; per evitare questo tipi di rischi gli utenti dovrebbero essere in grado di capire quali siti sono stati potenzialmente colpiti e quali sono stati aggiornati dalla tecnologia che è in grado di proteggere da tali rischi.
“Per fare chiarezza tra le molte informazioni confuse che sono state diffuse in questi giorni – ha dichiarato Gary Davis, vice presidente marketing consumer di McAfee – il nostro strumento offre agli utenti un accesso rapido alle informazioni di cui hanno bisogno. Armati di queste informazioni, gli utenti possono decidere quale sia il momento giusto per cambiare le loro password e riacquistare fiducia in un’esperienza di navigazione Web sicura”.