83
una lunghezza di 500 caratteri. Il
server quindi ritorna un’informa-
zione di 500 caratteri che contiene
la parola ‘bird’, ma anche gli altri
496 caratteri successivi che possono
contenere informazioni riservate, che
l’attaccante può usare per altri attacchi
o per frodi. Con il buer over-read l’at-
taccante può ricevere, tramite una ‘He-
artbeat Request’ scorretta, informazioni
fino a 64K del buer di memoria allocato.
Che cosa è stato attaccato
e con quali danni
Si stima che OpenSSL versione 1.0.1 sia stata usa-
ta, e forse è tutt’ora usata, da circa due terzi dei
siti internet del mondo e quindi, forse questi sono
ancora vulnerabili. Potenzialmente una miniera di
opportunità infinita per i cyber criminali.
A oggi però non si conosce chi sia stato eettiva-
mente attaccato, e quali danni abbia subito. I me-
dia hanno dato molto risalto a Heartbleed e a ciò
che un attaccante avrebbe potuto fare, definendo
Heartbleed come un evento ‘catastrofico’, il più
grave della storia di internet. Alcuni dei siti più noti
e usati erano a rischio Heartbleed e hanno aggior-
nato OpenSSL con la nuova versione. Ma in più di
due anni, con questa vulnerabilità zero-day quan-
te informazioni sono state illegalmente sottratte?
E con quali danni? Non solo: ora la patch per la
vulnerabilità esiste ed è ben nota. Ma un recente
studio di Netcraft datato 9 maggio 2014 rileva che
il 57% dei siti web non ha ancora revocato i loro
certificati SSL compromessi, e il 7% di quelli che
li hanno cambiati usa ancora le stesse chiavi che
utilizzava precedentemente, correndo quindi il ri-
schio Heartbleed come se non avesse aggiornato
il software e i certificati.
Molti credono che Heartbleed è un problema solo per
server, ma non è corretto. I rischi principali riguar-
dano tipicamente siti web, webmail, social network,
sistemi di telefonia IP e server di comunicazione e
messaggistica, unità di storage, VPN, firewall e si-
stemi embedded tipici dell’Internet delle cose. Ma
possono riguardare anche i dispositivi dell’utente
(pc/tablet/smartphone) che funzionano con la ver-
sione bacata di OpenSSL.
Anche un server ‘malevolo’, infatti, può eettuare
una ‘Heartbeat Request’ scorretta su un client per
leggere dati dal buer di memoria del dispositi-
vo dell’ignaro utente del sistema. Questa tecnica
di attacco è chiamata Reverse Heartbleed, e può
aver colpito milioni e milioni di dispositivi in mano
agli utenti.
Cosa fare per proteggersi
da Heartbleed
Occorre distinguere tra gestore e
responsabile della sicurezza di si-
stemi informatici e utente finale.
Nel primo caso molte sono le attività
da svolgere, che in dettaglio esulano
dagli obiettivi di questo articolo, e che
includono l’installazione della nuova versio-
ne di OpenSSL, la revoca e la richiesta/rige-
nerazione dei certificati e la rigenerazione di
tutte le password.
Lato utente occorre operare invece su due fron-
ti: verificare se i siti con Https visitati abitualmen-
te erano a rischio Heartbleed ed eventualmente
aggiornare l’OpenSSL dei propri dispositivi d’utente
per evitare il Reverse Heartbleed.
Sul primo fronte la verifica è facile grazie a servizi
gratuiti quali per esempio
/
ssltest/ o
.
Se dalla verifica il sito risulta ancora vulnerabile,
non deve essere assolutamente visitato. Se non lo
è più, occorre cambiare la password e controllare
l’eventuale revoca dei certificati che il browser usa,
apportando le relative sostituzioni. Sul secondo
fronte occorre non solo installare la nuova release
OpenSSL, ma anche rimpiazzare/rigenerare i cer-
tificati e le password.
Tutte queste attività non sono banali e richiedo-
no tempo, sistematicità, competenza: per appro-
fondimenti si veda
, http://
en.wikipedia.org/wiki/Heartbleed.
La completa eliminazione di Heartbleed da inter-
net richiederà molto tempo e un non indierente
impegno di risorse: in questo caso le dimensioni
dell’impresa contano, purtroppo in senso negativo.
Marco Bozzetti
giugno 2014
