Avete sentito parlare di Heartbleed negli ultimi giorni ? Heartbleed è un grave bug individuato nel sistema di crittografia open-source denominato OpenSSL, implementazione open source dei protocolli SSL e TLS, che rappresenta la più diffusa libreria utilizzata per cifrare il traffico web. Il bug è molto pericoloso in quanto permette di rubare informazioni protette con la cifratura SSL/TLS, quella che permette alle pagine di mostrarsi con il lucchetto chiuso ad indicare che sulla pagina è attiva la protezione. Acquisti Online, servizi di remote banking, mail, instant messaging (IM), reti virtual private network (VPN) ecc., sono molti gli ambiti di utilizzo che si è scoperto ora essere potenzialmente a rischio. Alcune dellee versioni di Open SSL contenenti il bug sono in circolazione da due anni, quelle a rischio sono la versione 1.0.1 e 1.0.1f, e la prerelease 1.0.2, presenti in molti sistemi operativi Unix-based e in distribuzioni Linux come Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD e OpenSUSE. Da qualche giorno sono disponibili versioni aggiornate di OpenSSL che eliminano il problema, ma l’aggiornamento dei siti web e dei servizi che utilizzano le versioni incriminate e la loro tempestività è a discrezione dell’amminstratore o del gestore. Per poter verificare la presenza della vulnerabilità è stato realizzato un sito ad hoc, che però pare non essere affidabile al 100%. Non basterà inoltre effettuare l’aggiornamento perchè le chiavi di cifratura in circolazione potrebbero essere state intercettate, occore quindi richiamarle e generarne di nuove. Tra le società che sembrano aver verificato la presenza del rischio ci sono Amazon e Yahoo, tra quelle che non sono state a rischio, perchè utilizzano differenti implementazoni di SSL/TLS, troviamo Apple, Google e varie banche. Maggiori informazioni sul sito dedicato heartbleed.com.
Tag: crittografia
Il 99% dei terminali Android in circolazione a rischio sicurezza !
La società di ricerca Bluebox, specializzata nella sicurezza online, ha segnalato l’esistenza di un grave problema in Android che mette il 99% dei dispositivi in circolazione basati su tale sistema operativo a forte rischio. Un malintenzionato ha la possibilità di aggiungere istruzioni di codice a qualsiasi applicazione, senza che venga alterata la firma crittograifca. L’applicazione modificata verrà quindi validata senza nessun problema dal sistema. Il problema riguarda le versioni dalla 1.6 in avanti, e permette a chiunque di installare codice malevolo, trojan, keyloggero o codice in grado di sottrarre dal dispositivo informazioni sensibili, ma anche sfruttare un terminale Android in modalità Bring Your Own Device (BYOD) per accedere a risorse ed informazioni aziendali. Bluebox ha segnalato il problema a Google già nel mese di febbraio, ma la risoluzione del problema con il rilascio di una nuova versione firmware deve avvenire ad opera dei singoli produttori dei dispositivi. Samsung avrebbe già provveduto all’aggiornamento dei propri terminali Galaxy S4 , ma si tratterebbe di un’eccezione, in uno scenario tutt’altro che rassicurante. I dettagli di questa vulnerabilità e la sua pericolosità verranno resi pubblici durante l’evento Black Hat USA 2013, che si terrà a Las Vegas dal 27 luglio 2013. Si raccomandano gli utenti di installare le applicazioni solo tramite Google Play e di curare il puntuale aggiornamento dei propri dispositivi.
