PORDENONE LINUX USER GROUP

Heartbleed – il baco di OpenSSL che ha messo in ginocchio molti server

Ciao,

in questa settimana molti server admin hanno avuto dei grattacapi notevoli, a causa della scoperta di questo ‘baco’ software che li ha costretti a ricorrere ai ripari molto velocemente (aggiornando la versione installata alla OpenSSL 1.0.1g ).
Questo errore di programmazione esiste sin dal 31 dicembre 2011, ma è stata scoperto in questo mese, da Neel Mehta di Google Security. Per conoscere meglio il funzionamento di questo bug, leggete il post su Wikipedia.

Cos’è questo baco?Heartbleed.svg

Heartbleed è il nome assegnato a una vulnerabilità zero day (CVE-2014-0160) che riguarda OpenSSL, il sistema usato per criptare le comunicazioni internet usato da due terzi dei server e fino ad oggi considerato uno dei sistemi più sicuri. La falla – e questa è una pessima notizia – esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g.  Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8. (wired.it)

E’ consigliato cambiare le mia password di accesso ai servizi?

Il post presente sul sito di attivissimo consiglia di effettuare i seguenti controlli:

  • Non fa differenza se usate Mac OS, Linux, Windows, Android, iOS e se usate un computer o un tablet o uno smartphone: siamo tutti vulnerabili allo stesso modo. Nno dipende da noi, ma dal software installato sul server dove siamo ospiti.
  • Controllate se i siti che visitate sono vulnerabili o si sono aggiornati, immettendone il nome in ssllabs.com/ssltestoppure filippo.io/Heartbleed/.
  • Se un sito risulta vulnerabile, non interagite con esso fino a che non si aggiorna. Non cambiate la vostra password: è inutile se il sito non si aggiorna. La nuova password verrebbe letta dagli aggressori.
  • Se un sito risulta non vulnerabile, visitatelo e cambiate immediatamente la vostra password.
  • Non usate la stessa password per siti differenti: se lo fate, mai come oggi è il momento di smettere di essere così pigri e imprudenti.
  • Non fidatevi di mail o altri messaggi che vi invitano a cliccare su un link per aggiornare le vostre password: sono quasi sicuramente trappole di criminali.
  • Non seguite link a siti presso i quali avete un account: digitate a mano il nome del sito nel vostro browser.
  • Se avete NAS o altri server personali esposti a Internet, aggiornateli appena possibile.

Come funziona? Semplice spiegazione

heartbleed_explanation

Grazie a xkcd.com