Puntualmente e ciclicamente arriva la notizia che la sicurezza informatica non è poi così tanto sicura. Questa volta a sanguinare è un cuore importante della sicurezza, OpenSSL. Il Secure Socket Layer (SSL) oggi declinato in Transport Layer Security (TLS), è il protocollo crittografico che permette una comunicazione sicura punto punto (end-to-end) su reti TCP/IP, leggasi Internet, fornendo lo strato (sicuro, per l’appunto) per autenticazione, integrità dei dati e cifratura. L’evidenza nota ai più del Secure Socket Layer è il lucchetto e il prefisso https prima della URL del sito che stiamo visitando e che abbiamo imparato a riconoscere come simbolo di sicurezza e fiducia.
In Internet Mis-Trust Services avevamo affrontato il caso di ComodoHacker, che a marzo 2011 aveva “derubato” la CA Comodo (da qui il nome del hacker) di alcuni certificati che facevano capo, fra gli altri, a mail.google.com. All’epoca più di 500 certificati Secure Socket Layer (SSL) erano stati fabbricati da parte di intrusi, ed alcuni di questi certificati erano stati usati per “impersonare” siti e/o servizi, di Google, tra cui Gmail. Il certificato SSL fasullo era stato utilizzato per firmare digitalmente connessioni HTTPS a qualsiasi sito di Google ed era stato emesso dalla società olandese DigiNotar, che nella sua Homepage recitava: “Iternet Trust Services – DigiNotar offers (legal) security in the online process of identification, validation and preservation”,
recitava, perchè Diginotar oggi non esiste più, è fallita, la falla di sicurezza è stata così importante e grave da scatenare un tale effetto domino da far sparire in poco tempo (un paio di mesi) la più importante CA olandese.
All’epoca era stata colpita una CA e falsificati alcuni certificati modello “io sono io, perciò ti puoi fidare”, oggi, fatto ben più grave, è il rischio che ad essere colpito è il protocollo che serve una buona parte delle connessioni sicure sulla rete (si parla di circa i 2/3) ed il fatto che Heartbleed (così hanno battezzato il baco) ha vissuto troppo a lungo nell’anonimato, senza essere scoperto, lasciando in balia dei potenziali malintenzionati, per due lunghi anni, enormi quantità di chiavi private e altri segreti esposti alla luce del “sole Internet”. Mettiamoci anche la facilità di attacco, il rischio di frittata fatta c’e’ tutto!
Il buco-baco “cuore sanguinante” consente di rubare tutte le informazioni che transitano sul canale trasmissivo, che fino ad oggi si pensava essere protetto e impenentrabile grazie alla crittografia SSL / TLS, ma non solo, Heartbleed consente di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. Volendo fare un elenco non esaustivo, sono a rischio di compromissione:
- le chiavi utilizzate per identificare i fornitori di servizi (“io sono io, perciò ti puoi fidare, ma in realtà sono un ladro”)
- le chiavi per crittografare il traffico (“tutto è cifrato, ma tutti dispongono della Stele di Rosetta per tradurre”);
- i nomi e le password degli utenti;
- le informazioni riservate (numeri di carta di credito, dati e documenti coperti da privacy, ecc.).
Ad essere colpiti massicciamente rischiano di essere stati i server web open source più amati dagli amministratori di rete, Apache e nginx, che fanno copiosamente uso del protocollo OpenSSL utilizzato per proteggere ad esempio i server di posta (protocolli SMTP, POP e IMAP), chat server (protocollo XMPP), reti private virtuali (VPN SSL), apparecchi di rete e un’ampia varietà di software lato client.
Il bug è stato scoperto da Neel Mehta di Google Security e da Riku, Antti e Matti di Codenomicon che hanno segnalato la vulnerabilità al National Cyber Security Centre Finland (NCSC-FI) che ha a sua volta segnalato il bug agli autori di OpenSSL, fornitori di software e sistemi operativi, e appliance vendor potenzialmente interessati. Tuttavia, la portata della notizia è stata tale che se ne è avuta eco, anche con un notevole risalto, sulla stampa quotidiana (Corriere della Sera, Repubblica, ecc.).
Chi ha scoperto heartbleed lo ha verificato sui propri servizi, mettendosi dalla parte dell’attaccante. Ebbene, l’attacco ha avuto successo, e per di più senza lasciare nessuna traccia nei log (l’incubo di tutti gli amministratori di sistemi: il bug “invisibile”). Senza usare informazioni o credenziali riservate, l’attaccante è stato in grado di rubare le chiavi di cifratura utilizzate dai certificati X.509, nomi utente e password, messaggi istantanei, e-mail e documenti aziendali critici e comunicazioni riservate. In pratica nulla si è salvato, solo l’informazione che non c’era, da sempre quella più sicura!
Il rischio di essere stati colpiti direttamente o indirettamente è quindi accertato. Tutti i siti, dal social a quello aziendale, dai siti governativi ai siti di e.commerce potrebbero utilizzare OpenSSL vulnerabile. La stragrande maggioranza di servizi online utilizzano TLS sia per identificare se stessi verso gli utenti che li visitano che per proteggere la privacy e le transazioni degli stessi. Inoltre, il software lato client del dispositivo dell’utente potrebbe esporre i dati dal computer una volta connesso ai servizi compromessi.
Sono nati/esistono sulla rete diversi siti per verificare se il sito https che visitiamo/usiamo è potenzialmente a rischio,
ma vale la pena ricordare la definizione di rischio:
Il rischio c’e’, c’è stato e ci sarà ancora, ma trattandosi di rischio, non potrebbe essere che per una volta tanto la falla di sicurezza non sia stata, bontà nostra, sfruttata?
Commenti recenti