L’ingegnere di Heartbleed: è stato un “incidente”

Il bug Heartbleed ha scosso l’industria della sicurezza e i servizi web negli ultimi giorni. Tuttavia, il programmatore responsabile della supervisione afferma che è stato un caso che il difetto sia stato introdotto in primo luogo.

Heartbleed è un difetto di crittografia che interessa la versione 1.0.1 di OpenSSL e la versione 1.0.2-beta, 1.01, ampiamente utilizzata sul Web e in numerosi servizi Web popolari. Il difetto può essere teoricamente utilizzato per visualizzare comunicazioni apparentemente sicure attraverso HTTPS, solitamente denotato da un piccolo lucchetto chiuso nella barra degli indirizzi di un browser.

I dati potenzialmente a rischio includono qualsiasi cosa, dalle password e le chiavi di crittografia ai dettagli finanziari e alle informazioni di identificazione personale, consentendo a un hacker di entrare, strisciare i dati e non lasciare traccia della loro esistenza.

Commentando la scoperta, Bruce Schneier ha scritto sul suo blog sulla sicurezza Schneier on Security:

“Fondamentalmente, un utente malintenzionato può prendere 64K di memoria da un server. L’attacco non lascia traccia e può essere eseguito più volte per catturare 64K casuali di memoria diversi. Ciò significa che qualsiasi cosa in memoria – chiavi private SSL, chiavi utente, qualsiasi cosa — è vulnerabile.

E devi presumere che sia tutto compromesso. Tutto.楥atastrofico è la parola giusta. Sulla scala da 1 a 10, questo è un 11″.

Il programmatore OpenSSL Robin Seggelmann ha dichiarato al Sydney Morning Herald che il codice vulnerabile che porta al difetto Heartbleed, parte del progetto OpenSSL, è stato presentato da lui e rivisto da altri programmatori coinvolti nello schema.

Più sangue di cuore

• Come proteggersi
• Lezione: le password devono morire
• Prima di Heartbleed: le peggiori vulnerabilità di sempre?
• Il controllo di sicurezza di LastPass ti copre
• OpenSSL ha bisogno di finanziamenti aziendali per evitare che Heartbleed si ripeta
• Chiavi CloudFlare strappate
• L’ingegnere di Heartbleed: è stato un “incidente”
• L’open source era importante per Heartbleed?

Questo codice è stato perfezionato da una programmazione aggiuntiva per il protocollo di crittografia, successivamente utilizzato da milioni di siti Web, ed è stata questa codifica bolt-on a introdurre il bug, causato dalla “mancata convalida su una variabile contenente una lunghezza”. Né Seggelmann né un revisore tra pari hanno notato la convalida mancante, quindi il codice alla fine è passato dallo sviluppo alla versione rilasciata del software di crittografia.

Lo sviluppatore di software tedesco nega che il difetto di sicurezza sia stato incluso deliberatamente e ha detto alla pubblicazione che l’errore introdotto in OpenSLL era “banale”, l’impatto era “grave”.

Seggelmann ha notato che le teorie del complotto sono modi allettanti per spiegare il bug, soprattutto alla luce del documento dell’ex appaltatore della NSA Edward Snowden che descrive in dettaglio il attività di sorveglianza dei governi In tutto il mondo. Pur ammettendo che è “una possibilità” che le agenzie di spionaggio potrebbero aver saputo e sfruttato Heartbleed negli ultimi due anni, la vulnerabilità “non era prevista”. Seggelmann ha commentato:

“In questo caso, si è trattato di un semplice errore di programmazione in una nuova funzionalità, che purtroppo si è verificato in un’area rilevante per la sicurezza. Non era affatto previsto, soprattutto perché in precedenza ho corretto personalmente i bug di OpenSSL e stavo cercando di contribuire al progetto .”

Molti siti hanno corretto il difetto di sicurezza , inclusi Facebook, YouTube, Tumblr, Reddit e Instagram. Puoi utilizzare il controllo Heartbleed di LastPass per vedere se il tuo servizio web preferito è ancora vulnerabile al difetto e, una volta che queste aziende hanno corretto le patch, si consiglia di cambiare la password.

Imparentato:

• CNET:Bug Heartbleed: controlla quali siti sono stati corretti
• Heartbleed: rivelata una grave vulnerabilità zero-day OpenSSL
• Cisco, prodotti Juniper interessati da Heartbleed
• Come recuperare da Heartbleed
• Heartbleed: quali programmi sono “infrastrutture critiche”?
• Patch di sicurezza Heartbleed in arrivo veloci e furiose
• Heartbleed: rivelata una grave vulnerabilità zero-day OpenSSL