Heartbleed, dati privati a rischio per milioni di utenti del web

 

Una nuova importante vulnerabilità chiamata Heartbleed permetterebbe agli hacker di accedere alle password di milioni di utenti di tutto il mondo e ingannare le persone per far utilizzare loro versioni fasulle dei siti web

Scritto da Simone Ziggiotto il 09/04/14 | Pubblicata in Produttori | Archivio 2014

 

Heartbleed, dati privati a rischio per milioni di utenti del web

Una nuova importante vulnerabilità chiamata Heartbleed permetterebbe agli hacker di accedere alle password di milioni di utenti di tutto il mondo e ingannare le persone per far utilizzare loro versioni fasulle dei siti web.

La falla scoperta è in un sistema di criptaggio su Internet che espone due terzi dei 'server' di tutto il mondo al furto di dati, comprese informazioni sensibili degli utenti come conti bancari o carte di credito.

Il problema, divulgato Lunedi notte, è nel software open-source chiamato OpenSSL, che è ampiamente utilizzato per crittografare le comunicazioni via web. Il bug sembra aver colpito anche la crittografia 'https', che solitamente protegge le informazioni piu' sensibili di due terzi dei server di tutto il web. 

Le vulnerabilità di sicurezza vanno e vengono, ma questo Heartbleed è estremamente grave. Per il New York Times, Heartbleed è la "più grande minaccia alla sicurezza della rete degli ultimi anni e potrebbe aver gia' permesso la piu' grande fuga di dati nella storia del web".

Heartbleed, anche hardware coinvolti dal bug

La falla di sicurezza che ha colpito quasi due terzi dei siti web di tutto il mondo pare aver coinvolto anche diversi dispositivi hartware come i router, in particolare quelli a marchio Cisco Systems e Juniper Networks.

Heartbleed, il bug che sta mettendo a rischio due terzi dei siti web di tutto il mondo, secondo le ultime indiscrezioni, non solo ha coinvolto i siti di colossi come Google e Yahoo! ma avrebbe colpito anche i sistemi hardware, in particolare quelli di Cisco Systems e Juniper Networks che producono router, switch, firewall.
 
Il bug è stato scoperto dalla società Codenomicon insieme al ricercatore di Google Neel Mehta la scorsa settimana e annunciato al pubblico il 7 aprile. Heartbleed è ufficialmente chiamato CVE-2014-016 ed è un problema presente nel software open-source chiamato OpenSSL, che è ampiamente utilizzato per crittografare le comunicazioni via web.
 
In questi giorni la maggior parte delle piattaforme coinvolte hanno aggiornato il sistema OpenSSL, così da chiudere la falla. Il consiglio per gli utenti rimane quello di cambiare le password dei nei siti in cui hanno un account, così da essere sicuri che le loro informazioni rimangano al sicuro. Tra i siti piu' esposti al bug ci sono stati, tra gli altri, anche Yahoo! e Tumblr, ma in passato potrebbero esser stati presi di mira anche Google, Apple e Microsoft e social network Facebook e Twitter.
 
Yahoo ha detto di aver preso provvedimenti sui suoi siti principali appena avuta la notizia: "Non appena siamo venuti a conoscenza del problema, abbiamo iniziato a lavorare per risolverlo, col nostro team che ha attivato con successo le opportune correzioni attraverso le principali proprietà di Yahoo  e stiamo lavorando per implementare la correzione nel resto dei nostri siti al momento.".
 
Secondo il Wall Street Journal, diversi prodotti di Juniper Networks soto vulnerabili, e gli esperti del giornale consigliano la sostituzione dell'hardware, senza dare però maggiori informazioni in merito (che modelli?).
 

Heartbleed, bug OpenSSL frutto di una banale svista

Heartbleed, il grave bug scoperto meno di tre giorni fa che ha colpito il mondo del web e che permetterebbe agli hacker di accedere alle password di milioni di utenti di tutto il mondo e ingannare le persone per far utilizzare loro versioni fasulle dei siti web, è il risultato di una banale svista.

Secondo quanto rivelato alla rivista online Wired da Robin Seggelmann, sviluppatore tedesco che ha introdotto Heartbleed nel software di cifratura OpenSSL, "stavo contribuendo al progetto OpenSSL sistemando delle falle e aggiungendo nuove feature“, spiega. "L’errore si è verificato nel codice per una nuova feature del protocollo (TLS Heartbeats, da cui il nome del bug). Tutto il codice è revisionato dal team di OpenSSL, ma sfortunatamente nessuno se ne è accorto".
 
La vulnerabilità è ufficialmente chiamata CVE-2014-016, ma è nota informalmente come Heartbleed, un nome più facile da ricordare fornito dalla società di sicurezza Codenomicon, che insieme al ricercatore di Google Neel Mehta ha scoperto il problema nel software open-source chiamato OpenSSL, che è ampiamente utilizzato per crittografare le comunicazioni via web. 
 
Come è possibile che la falla nella sicurezza non è mai stata soperta in ben due anni? Seggelmann spiega che "Posso solo assumere che ci sia voluto così tanto perché è una nuova feature di non largo utilizzo" e anche perché "non si tratta di un errore concettuale, ma di semplice programmazione".
 
Il problema, divulgato Lunedi notte, era nel software open-source chiamato OpenSSL, che è ampiamente utilizzato per crittografare le comunicazioni via web. Le vulnerabilità di sicurezza non sono nuove in sistemi complessi come OpenSSL, ma questo Heartbleed è estremamente grave. Per il New York Times, Heartbleed è la "più grande minaccia alla sicurezza della rete degli ultimi anni e potrebbe aver gia' permesso la piu' grande fuga di dati nella storia del web".
Tra i siti piu' esposti al bug ci sono stati, tra gli altri, anche Yahoo! e Tumblr, ma in passato potrebbero esser stati presi di mira anche Google, Apple e Microsoft e social network Facebook e Twitter.
 
Il bug affligge la versione 1.0.1 e la 1.0.2-beta di OpenSSL, software server fornito con molte versioni di Linux e viene usato nei server Web più diffusi. OpenSSL ha rilasciato la versione 1.0.1g per risolvere il bug, ma molti operatori di sito web ancora non hanno aggiornato il software.
 

Heartbleed, i tool per verificare i siti sicuri

Tra i tool disponibili ci sono quelli di McAfeeSymantecLast Pass e quello dell'italiano esperto di informatica Filippo Valsorda.
''Prima di cambiare le password è importante che gli utenti controllino se i siti che frequentano siano stati aggiornati'', sottolinea Gary Davis, vice presidente marketing consumer di McAfee. Il perchè è piuttosto logico: se andate a cambiare password in un sito dove ancora il bug è ancora presente, state tranquilli che i vostri dati sono non al sicuro quanto lo erano prima.
 
I tool permettono di scoprire se un certo sito web è ancora afflitto dal bug semplicemente inserendo il nome del dominio del sito da verificare, e precisano anche se il sito stesso è stato aggiornato alla versione di OpenSSL più recente, quella in cui il bug è stato risolto.
 

NSA, il governo non era a conoscenza di Heartbleed

Nel suo blog, il coordinatore della sicurezza informatica per la Casa Bianca ribadisce che il governo non era a conoscenza di Heartbleed, il bug che ha coinvolto due terzi del web.

Non è un segreto che la National Security Agency è piena di segreti (non è un gioco di parole a caso). Ma, in una mossa rara, la Casa Bianca ha rivelato un po' di più su come funziona l'Agenzia per la Sicurezza Nazionale USA.
 
In un post sul blog, il coordinatore della sicurezza informatica per la Casa Bianca, Michael Daniel, ha dettagliato quando la NSA decide di mantenere al segreto certe informazioni sulle vulnerabilità della sicurezza e quando decide di svelare la loro esistenza al pubblico.
 
All'inizio di questo mese, la notizia del bug Heartbleed che ha coinvolto due terzi di Internet ha mostrato quanto facilmente i dati online delle persone possono essere accessibili da malintenzionati, anche senza l'intervento della NSA. Ciò che era particolarmente sgradevole di questa vulnerabilità era la sua capacità di estrarre potenzialmente nomi delle persone, password e dati delle carte di credito. Si ritiene che sono colpiti fino a 500.000 siti web, tra cui Google, Facebook, Yahoo e molti altri.
 
Inizialmente, era stato riferito che l'NSA era a conoscenza del bug Heartbleed e non è riuscita a lasciare che il pubblico entrasse a conoscenza della sua esistenza, ma l'agenzia si è affrettata a smentire tali affermazioni.
Nel suo blog, Daniel ribadisce che il governo non era a conoscenza di Heartbleed.
 

Heartbleed, 6 su 10 siti non sono protetti

Quasi sei siti su 10 colpiti dal bug Heartbleed non ha preso ancora misure. Il 14 per cento ha risolto aggiornando il proprio certificato di sicurezza.

La britannica Netcraft ha rilevato che il 57 per cento dei siti vulnerabili monitorati non ha preso alcuna misura. In questo 57 per cento rientrerebbero, secondo quanto hanno detto gli analisti al blog Recode, piattaforme meno popolari. Tuttavia, il fatto che tali siti siano meno popolari non significa che la tutela dei dati degli utenti può essere messa in secondo piano. In ogni caso, i primi mille siti web più visitati a metà aprile hanno già trovato un rimedio Heartbleed.
 
Risale all'inizio del mese di aprile la notizia del bug Heartbleed che ha coinvolto due terzi di Internet. E' stato stimato che fino a 500.000 siti web, tra cui quelli di Google, Facebook, Yahoo e molti altri, sono stati 'affetti da Heartbleed'. Il bug è diventato uno dei peggiori problemi di sicurezza del Web nella storia recente. Due anni fa, una modifica è stata fatta in OpenSSL, una tecnologia per la crittografia dei dati progettata per assicurare lo scambio di dati sensibili in sicurezza nel Web, e tale modifica avrebbe aperto le porte agli hacker malintenzionati. Sfruttando il bug, gli hacker possono eludere la crittografia di un sito web e accedere a tutte le informazioni che vogliono, dai nomi utente e password ai cookies di sessione.
 
Per Netcraft, solo il 14 per cento dei colpiti dal bug ha aggiornato il proprio certificato di sicurezza revocando i vecchi e generandone di nuovi, utilizzando chiavi di crittografia nuove. Il 5 per cento ha generato nuovi certificati ma con le vecchie 'chiavi' (come cambiare lucchetto ma non combinazione). I certificati servono a stabilire l'autenticità di un sito ed è stato provato che sfruttando Heartbleed gli hacker sono in grado di rubarli per copiare interi siti web.
 
Netcraft ritiene che il bug Heartbleed viene sottovalutato dai proprietari di siti web, e così non dovrebbe essere. Il bug è diventato uno dei peggiori problemi di sicurezza del Web nella storia recente. Per il New York Times, Heartbleed è la "più grande minaccia alla sicurezza della rete degli ultimi anni e potrebbe aver gia' permesso la piu' grande fuga di dati nella storia del web". 
 

Ultime notizie

 
 

Notizie per Categoria

 
 

Seguici

 

Promozioni Consigliate

 
Vuoi restare aggiornato ?