82
Nelle ultime settimane anche la stampa non tecnica
ha dato molto risalto a Heartbleed, una vulnerabili-
tà nelle librerie software di crittografia largamente
usate per implementare OpenSSL con l’estensione
Heartbeat. OpenSSL è il programma open source per
il protocollo di autenticazione e cifratura TSL che
consente di crittare i dati in transito tra il browser
e il server web con Https, usato tipicamente per
l’home-banking, pagamenti sicuri di e-commerce,
ecc. OpenSSL non solo critta i dati in transito, ma
protegge lo scambio di password e di certificati
elettronici per l’autenticazione degli interlocutori.
L’estensione Heartbeat (da cui deriva il nome del-
la vulnerabilità Heartbleed) per i protocolli TLS e
Dtls, Datagram TLS, consente di testare e mante-
nere attiva la comunicazione crittata senza dover
rinegoziare ogni volta i parametri e i certificati re-
lativi. Standardizzato con RFC 6520 da febbraio
2012, è praticamente usato in ogni implementa-
zione di OpenSSL.
Dato che i protocolli TSL/SSL costituiscono il cuo-
re della sicurezza delle comunicazioni in internet,
la vulnerabilità Heartbleed è realmente grave e di
conseguenza ha avuto vasta eco. La vulnerabilità
è causata da bachi di programmazione, si suppone
involontari da parte degli sviluppatori (che opera-
no gratuitamente nell’ambito del progetto open-
source), nella versione 1.0.1 di OpenSSL, rilasciata a
dicembre 2011. Heartbleed è identificata e classifi-
cata nella banca dati delle vulnerabilità come CVE-
2014-0160 e consente a un attaccante di catturare
informazioni riservate, quali identificativi d’utente,
password, certificati elettronici, numeri di carte di
credito, che sono scambiati sul collegamento Https.
OpenSSL è usabile ed è usato non solo per pc e
server, ma anche su tablet e smartphone. I bachi
sono stati eliminati con il rilascio della nuova ver-
sione OpenSSL, ma tutti gli ambienti, sia server
che client, che utilizzano ancora la versione 1.0.1
sono a rischio.
Come funziona Heartbleed
Il baco nel software consente un attacco di tipo
buer over-read, che consente di leggere i dati da
un buer di memoria del computer al di là dei con-
fini che dovrebbe avere tale operazione. In pratica
si leggono dati adiacenti che non dovrebbero, e
potrebbero, essere letti e usati.
Un esempio di corretto uso di Heartbeat nello scam-
bio di informazioni tra il browser di un client (pc,
smartphone o tablet che sia) e un server può essere
il seguente. Viene richiesta un’informazione specifi-
cando l’esatto numero di caratteri che deve avere:
esempio ‘bird’ e come numero di caratteri 4. Il server
correttamente ritorna solo l’informazione richiesta,
‘bird’ della lunghezza di 4 caratteri indicata. Ma nel
baco di programmazione di Heartbleed non viene
fatto il controllo tra la lunghezza dichiarata dell’in-
formazione richiesta e la sua eettiva dimensione.
Chi utilizza questo baco per ricavare in modo frau-
dolento informazioni riservate opera invece così:
per l’informazione ‘bird’ richiesta viene dichiarata
giugno 2014
HEARTBLEED:
CHE COSA È?
CHE COSA DEVO FARE?
LA NUOVA VULNERABILITÀ
CHE METTE A RISCHIO
AZIENDE E UTENTI
Marco Bozzetti, OAI founder
