Tag: OpenSSL

Avete sentito parlare di Heartbleed negli ultimi giorni ? Heartbleed è un grave bug individuato nel sistema di crittografia open-source denominato OpenSSL, implementazione open source dei protocolli SSL e TLS, che rappresenta la più diffusa libreria utilizzata per cifrare il traffico web. Il bug è molto pericoloso in quanto permette di rubare informazioni protette con la cifratura SSL/TLS, quella che permette alle pagine di mostrarsi con il lucchetto chiuso ad indicare che sulla pagina è attiva la protezione. Acquisti Online, servizi di remote banking, mail, instant messaging (IM), reti virtual private network (VPN) ecc., sono molti gli ambiti di utilizzo che si è scoperto ora essere potenzialmente a rischio. Alcune dellee versioni di Open SSL contenenti il bug sono in circolazione da due anni, quelle a rischio sono la versione 1.0.1 e 1.0.1f, e la prerelease 1.0.2, presenti in molti sistemi operativi Unix-based e in distribuzioni Linux come Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD e OpenSUSE. Da qualche giorno sono disponibili  versioni aggiornate di OpenSSL che eliminano il problema, ma l’aggiornamento dei siti web e dei servizi che utilizzano le versioni incriminate e la loro tempestività è a discrezione dell’amminstratore o del gestore. Per poter verificare la presenza della vulnerabilità è stato realizzato un sito ad hoc, che però pare non essere affidabile al 100%. Non basterà inoltre effettuare l’aggiornamento perchè le chiavi di cifratura in circolazione potrebbero essere state intercettate, occore quindi richiamarle e generarne di nuove. Tra le società che sembrano aver verificato la presenza del rischio ci sono Amazon e Yahoo, tra quelle che non sono state a rischio, perchè utilizzano differenti implementazoni di SSL/TLS, troviamo Apple, Google e varie banche. Maggiori informazioni sul sito dedicato heartbleed.com.