[Discussioni] informazioni:http: sicurezza, openssl, heartbleed, open data

loredana llcfree a gmail.com
Gio 10 Apr 2014 10:20:58 CEST 

Cito da:

http://heartbleed.com/

The Heartbleed bug allows anyone on the Internet to read the memory of
the systems protected by the vulnerable versions of the OpenSSL
software. This compromises the secret keys used to identify the service
providers and to encrypt the traffic, the names and passwords of the
users and the actual content. This allows attackers to eavesdrop on
communications, steal data directly from the services and users and to
impersonate services and users.

In parole povere, le comunicazioni ritenute sicure perche' tramite https
tali non erano e tali non sono finche' i vari servizi non aggiornano il
loro software (le librerie openssl sono immediatamente state corrette,
essendo software libero).

L'aggiornamento e' fatto automaticamente da varie distribuzioni, prima
fra tutte debian, ma non da tutte. Occorre verificare.

Nel caso peggiore, tutte le chiavi potrebbero essere state compromesse e
quindi anche tutte le informazioni protette da quelle chiavi (password,
contenuti etc). Certamente un gran numero di transazioni bacate sono
state registrate, forse tutte, visto l'opera solerte di agenzie
governative e, soprattutto, della criminalita' organizzata. E' ovvio che
si concetrino su movimenti criptati, e' il sottoinsieme in cui e' piu'
probabile trovare qualcosa di interessante, con le persone che si
affidano ad una falsa sicurezza e percio' trascurano qualsiasi altra
semplice misura di sicurezza.

Appropriarsi dei certificati riconosciuti validi vuol dire poter
costruire a piacimento siti falsi, con tutte le conseguenze del caso con
attacchi che ridirigono a siti falsi anziche' a quelli originali. 

A proposito di open data (utili):

Occorre sapere come funzionano i servizi a cui ci rivolgiamo, in primis
quelli della PA e quelli implicati in tutte le transazioni economiche,
sapere quali di questi servizi sono coinvolti e come stanno procedendo
all'aggiornamento (le librerie, essendo software libero, sono state
immediatamente modificate).

Fintanto che non si e' sicuri che il software del servizio sia stato
effettivamente aggiornato e non si e' aggiornato il proprio, NON
collegarsi per cambiare la password o altro, servirebbe solo a
rimpinguare il pool di informazioni che sono gia' state sottratte.

L'invito e' a tutti coloro che si occupano di sicurezza a scendere dagli
scranni e dare una mano ai miliardi che vanno in rete senza sapere cosa
si fanno.

Io non me ne occupo se non tra i tanti altri aspetti, percio' per
cortesia mi si corregga dove sbaglio. 

In ogni caso, non tenetevi la notizie in tasca. Occorre "educare" il
grande pubblico, tutti, se si vuol modificare lo stato delle cose in
meglio. 

Loredana

More information about the discussioni mailing list