Video: Come funzionano le comunicazioni criptate? (Novembre 2024)
SSL, abbreviazione di Secure Sockets Layer, è ciò che mette la S in HTTPS. Gli utenti esperti sanno cercare HTTPS nella barra degli indirizzi prima di inserire qualsiasi informazione sensibile su un sito Web. Il nostro SecurityWatch pubblica frequentemente app Android che trasmettono dati personali senza utilizzare SSL. Purtroppo, il bug "Heartbleed" recentemente scoperto consente agli aggressori di intercettare le comunicazioni protette SSL.
Il bug si chiama Heartbleed perché trasporta sulle spalle una funzione chiamata heartbeat, influisce su versioni specifiche della libreria crittografica OpenSSL ampiamente utilizzata. Secondo il sito Web creato per riferire su Heartbleed, la quota di mercato combinata dei due maggiori server Web open source che utilizzano OpenSSL è superiore al 66 percento. OpenSSL viene anche utilizzato per proteggere e-mail, server di chat, VPN e "un'ampia varietà di software client". È dappertutto.
È male, davvero male
Un utente malintenzionato che sfrutta questo bug ottiene la capacità di leggere i dati memorizzati nella memoria del server interessato, comprese le chiavi di crittografia fondamentali. È inoltre possibile acquisire i nomi e le password degli utenti e la totalità del contenuto crittografato. Secondo il sito, "Ciò consente agli aggressori di intercettare comunicazioni, rubare dati direttamente dai servizi e dagli utenti e impersonare servizi e utenti".
Il sito continua a notare che l'acquisizione di chiavi segrete "consente all'autore dell'attacco di decrittografare qualsiasi traffico passato e futuro verso i servizi protetti". L'unica soluzione è aggiornare all'ultima versione di OpenSSL, revocare le chiavi rubate ed emettere nuove chiavi. Anche in questo caso, se l'attaccante ha intercettato e archiviato il traffico crittografato in passato, le chiavi acquisite lo decrittograferanno.
Cosa si può fare
Questo errore è stato scoperto in modo indipendente da due diversi gruppi, una coppia di ricercatori di Codenomicon e un ricercatore di sicurezza di Google. Il loro forte suggerimento è che OpenSSL rilasci una versione che disabilita completamente la funzione heartbeat. Con il lancio di questa nuova edizione, si potevano rilevare installazioni vulnerabili perché solo loro avrebbero risposto al segnale del battito cardiaco, consentendo "una risposta coordinata su larga scala per raggiungere i proprietari di servizi vulnerabili".
La comunità della sicurezza sta prendendo sul serio questo problema. Ad esempio, troverai delle note sul sito web US-CERT (United States Computer Emergency Readiness Team). Puoi testare i tuoi server qui per vedere se sono vulnerabili.
Purtroppo, non c'è un lieto fine a questa storia. L'attacco non lascia tracce, quindi anche dopo che un sito Web ha risolto il problema, non si può dire se i truffatori hanno toccato i dati privati. Secondo il sito Heartbleed, sarebbe difficile per un IPS (Intrusion Prevention System) distinguere l'attacco dal normale traffico crittografato. Non so come finisce questa storia; Riferirò quando c'è altro da dire.