Annuncio pubblicitario

Se sei una di quelle persone che hanno sempre creduto che la crittografia open source fosse il modo più sicuro per comunicare online, ti aspetta una sorpresa.

Questa settimana, Neel Mehta, un membro del team di sicurezza di Google, ha informato il team di sviluppo di OpenSSL che esiste un exploit con la funzione "heartbeat" di OpenSSL. Google ha scoperto il bug lavorando con la società di sicurezza Codenomicon per tentare di hackerare i propri server. In seguito alla notifica di Google, il 7 aprile, il team OpenSSL ha rilasciato il proprio Avviso di sicurezza insieme a una patch di emergenza per il bug.

Il bug ha già ricevuto il soprannome di "Heartbleed" dagli analisti della sicurezza Esperto di sicurezza Bruce Schneier su password, privacy e fiduciaScopri di più sulla sicurezza e la privacy nella nostra intervista con l'esperto di sicurezza Bruce Schneier. Leggi di più , perché utilizza la funzione "heartbeat" di OpenSSL per ingannare un sistema che esegue OpenSSL nel rivelare informazioni sensibili che possono essere archiviate nella memoria di sistema. Mentre gran parte delle informazioni archiviate in memoria potrebbero non avere molto valore per gli hacker, la gemma catturerebbe le stesse chiavi utilizzate dal sistema

instagram viewer
crittografare le comunicazioni 5 modi per crittografare in modo sicuro i tuoi file nel cloudI tuoi file possono essere crittografati in transito e sui server del provider cloud, ma la società di archiviazione cloud può decrittografarli e chiunque abbia accesso al tuo account può visualizzare i file. Dalla parte del cliente... Leggi di più .

Una volta ottenute le chiavi, gli hacker possono quindi decrittografare le comunicazioni e acquisire informazioni sensibili come password, numeri di carta di credito e altro. L'unico requisito per ottenere quelle chiavi sensibili è consumare i dati crittografati dal server abbastanza a lungo per acquisire le chiavi. L'attacco non è rilevabile e non è rintracciabile.

L'errore di battito cardiaco OpenSSL

Le conseguenze di questo difetto di sicurezza sono enormi. OpenSSL è stato istituito per la prima volta nel dicembre del 2011 e divenne rapidamente una libreria crittografica utilizzata da società e organizzazioni su Internet per crittografare le informazioni sensibili e comunicazioni. È la crittografia utilizzata dal server Web Apache, su cui si basa quasi la metà di tutti i siti Web su Internet.

Secondo il team OpenSSL, la falla nella sicurezza deriva da un difetto del software.

“Un controllo dei limiti mancanti nella gestione dell'estensione heartbeat TLS può essere utilizzato per rivelare fino a 64k di memoria a un client o server connesso. Sono interessate solo le versioni 1.0.1 e 1.0.2-beta di OpenSSL, incluse 1.0.1f e 1.0.2-beta1. ”

il mouse-and-chiave
Senza lasciare traccia sui registri del server, gli hacker potrebbero sfruttare questa debolezza per ottenere dati crittografati da alcuni dei server più sensibili su Internet, come server web di banche, server di società di carte di credito, siti Web di pagamento di fatture e Di Più.

La probabilità che gli hacker ottengano le chiavi segrete rimane in discussione, perché Adam Langley, un esperto di sicurezza di Google, ha pubblicato su il suo flusso Twitter che i suoi test non hanno rivelato nulla di così sensibile come le chiavi di crittografia segrete.

Nel suo Advisory sulla sicurezza del 7 aprile, il team OpenSSL ha raccomandato un aggiornamento immediato e una soluzione alternativa per gli amministratori di server che non possono eseguire l'aggiornamento.

“Gli utenti interessati devono eseguire l'aggiornamento a OpenSSL 1.0.1g. Gli utenti che non sono in grado di aggiornare immediatamente possono in alternativa ricompilare OpenSSL con -DOPENSSL_NO_HEARTBEATS. 1.0.2 verrà risolto in 1.0.2-beta2 ".

A causa della proliferazione di OpenSSL su Internet negli ultimi due anni, la probabilità che l'annuncio di Google porti a imminenti attacchi è piuttosto elevata. Tuttavia, l'impatto di tali attacchi può essere mitigato dal maggior numero possibile di amministratori di server e gestori della sicurezza che aggiornano i loro sistemi aziendali a OpenSSL 1.0.1g il prima possibile.

Fonte: OpenSSL

Ryan ha una laurea in ingegneria elettrica. Ha lavorato 13 anni in ingegneria dell'automazione, 5 anni in IT e ora è un ingegnere di app. Ex amministratore delegato di MakeUseOf, ha parlato a conferenze nazionali sulla visualizzazione dei dati ed è stato presentato su TV e radio nazionali.