Oggi è un triste giorno per gli amministratori di sistema: è stato divulgato pubblicamente un bug molto serio nella libreria crittografica OpenSSL, che costituisce buona parte della privacy che possiamo avere online. Il famigerato Heartbleed bug permette a chiunque su Internet di accedere alle chiavi private di cifratura dei contenuti web (applicazioni, email, messaggi istantanei, etc…) e di conseguenza decrittare dati, username e password, insomma ogni genere di traffico tra due parti che siano vulnerabili e il cui traffico sia passibile di essere ricevuto. Le versioni di OpenSSL affette da questa vulnerabilità sono dalla 1.0.1 fino alla 1.0.1f e la 1.0.2-beta1: è consigliato aggiornare immediatamente alla versione 1.0.1g, che è stata patchata in tempo record. Molti grandi provider di contenuti (Yahoo fra tanti) sono vulnerabili e non avranno la flessibilità adeguata per completare un aggiornamento in tempi rapidi, è quindi consigliato evitare di utilizzare i siti web indicati in questa lista fino alla notizia della risoluzione del problema.

Nel dettaglio del bug, l’introduzione in OpenSSL di una funzionalità per supportare il protocollo TLS/Heartbeat aveva un’implementazione errata: non era stato introdotto un check sul limite della memoria utilizzata; questo permette di generare un pacchetto TCP apposito per cui la risposta contenga fino a 64kB di informazioni riservate allo stack di memoria di OpenSSL. Questo comprende la chiave privata della crittografia ed è comprensibile che questa informazione non dovrebbe mai essere rivelata. Per testare se il proprio sito è vulnerabile consiglio questa applicazione Made in Italy fatta da Filippo Valsorda: http://filippo.io/Heartbleed/

Francesco Gualazzi