Heartbleed: bug SSL e la rete è meno sicura

heartbleedHeartbleed è probabilmente il vocabolo più ricercato sui vari motori web dai responsabili della sicurezza Internet. È il nome di una vulnerabilità  definita come ‘seria’ nella libreria di crittografia più utilizzata in rete OpenSSL. Quella che dovrebbe proteggere la maggior parte del traffico da e verso banche, marketplace di ogni dimensione, sistemi di messaging, social network, reti private virtuali (le Vpn) e anche posta elettronica. In quattro parole: tutta Internet o quasi.

La vulnerabilità  permetterebbe di accedere alle informazioni solitamente messe in sicurezza dalla codifica SSL/TLS se è utilizzata la versione vulnerabile di OpenSSL che comprometterebbe le chiavi utilizzate per identificare il fornitore di servizi e criptare sulla base di queste il traffico.

Un intruso potrebbe, secondo quanto reso pubblico finora, intercettare i dati o simulare l’identità  di servizi e utenti, senza lasciare tracce evidenti.

Attacchi all’https non sono infrequenti, quello che ha portato all’onore della cronaca il bug Heartbleed è la consistente quantità  di chiavi private lasciate esposte per un periodo prolungato, cosa che presterebbe il fianco ad attacchi futuri molto estesi.

La soluzione per superare la vulnerabilità  è l’aggiornamento della libreria OpenSSL all’ultima versione. Le release affette dal bug sono OpenSSL da 1.0.1 alla 1.0.1f, le versioni 1.0.1g e i branch 1.0.0 e 0.9.8 non sono affette dalla vulnerabilità .

Nessun Articolo da visualizzare