mercoledì 16 aprile 2014

Heartbleed: siti Web a rischio validità, cambiare password non basta


Gli sforzi per risolvere il famigerato Heartbleed bug nel software di crittografia OpenSSL, minacciano di causare gravi perturbazioni su Internet nel corso delle prossime settimane, appena le aziende correranno a riparare i sistemi di crittografia su centinaia di migliaia di siti Web allo stesso tempo, dicono gli esperti di sicurezza. Le stime della gravità del danno del bug hanno montato quasi quotidianamente da quando i ricercatori hanno annunciato la scoperta di Heartbleed la scorsa settimana. Quello che inizialmente sembrava un problema scomodo di cambiare le password di protezione ora appare molto più grave.

Nuove rivelazioni suggeriscono che hacker esperti possono utilizzare il bug per creare siti Web fasulli che imitano quelli legittimi per ingannare i consumatori a consegnare preziose informazioni personali. La società di sicurezza CloudFlare - come riporta il Washington Post - ha provato che sfruttando la vulnerabilità è possibile rubare i certificati di sicurezza che stabiliscono l'autenticità di un sito. "L'ampiezza del lavoro necessario per risolvere questo aspetto del problema - che permette di rubare i certificati di sicurezza, che verificano se un sito Web è autentico - potrebbe sopraffare i sistemi progettati per mantenere la fiducia Internet".

"Immaginate se abbiamo scoperto tutto in una volta che tutte le porte utilizzate da tutti sono tutti vulnerabili - possono ottenere tutto", ha detto Jason Healey, uno studioso di sicurezza informatica presso il Consiglio Atlantico di Washington. "I tipi di cose cattive che permette di attuare sono in gran parte limitate soltanto dalla fantasia dei cattivi". Il bug Heartbleed ha messo i nomi utente e le password di molti consumatori a rischio. Inosservato per due anni, il bug ha tranquillamente minato la sicurezza di base di Internet lasciando un vuoto in OpenSSL, una tecnologia di cifratura ampiamente utilizzata dalle aziende per proteggere i dati sensibili. 

Secondo alcune stime, il bug CVE-2014-0160 che ha colpito due terzi dei siti Web di tutto il mondo, coinvolgerebbe anche alcuni router, apparecchi su cui viaggia il traffico internet. Il difetto ha spinto migliaia di utenti Web a modificare le password su Google, Yahoo, Facebook e altri servizi importanti. Non sono emersi esempi di effettivo sfruttamento della vulnerabilità. Ma venerdì, la società di servizi Web CloudFlare ha lanciato una sfida aperta agli hacker per vedere se Heartbleed potrebbe essere utilizzato per fare qualcosa di veramente pericoloso - rubare i certificati di sicurezza che provano Google, per esempio, se è davvero Google. 


Le prove iniziali di CloudFlare avevano suggerito che era probabilmente impossibile per un utente malintenzionato rubare un certificato di sicurezza e di attirare visitatori di un sito di un duplicato che sembrava e si comportava esattamente come la versione reale. La maggior parte dei browser, se rilevano un certificato di sicurezza valido, possono bloccare l'accesso al sito e avvertire l'utente che potrebbe essere illegittimo. Ma con un certificato rubato, un sito fasullo verrebbe caricato come se la cosa fosse reale. Per la sfida, CloudFlare ha invitato gli utenti Internet ad eseguire i propri test su un server fittizio con il bug Heartbleed. 

Gli hacker hanno dovuto rubare il certificato di protezione dal server, quindi inviare un messaggio a CloudFlare che è stato "firmato" con il certificato per dimostrare di averlo ottenuto. Entro nove ore dal lancio della sfida - e tre ore dopo aver iniziato a lavorare sul problema - un hacker di nome Fedor Indutny è stato il primo a decifrare il codice. "Come avrete notato, il CloudFlare Heartbleed Challenge è stato risolto. La chiave privata per il sito cloudflarechallenge.com è stata ottenuta da più aggressori autorizzati tramite la Heartbleed sfruttare", ha scritto Nick Sullivan in un post sul blog di CloudFlare.

"Era solo un modo divertente di trascorrere le ore serali, e una buona occasione per provare le mie capacità in un'azione di hacking legale", ha scritto Indutny in una e-mail al Washington Post. "Dopo l'avvio di uno script su un cloud server, ho visto un film e l'ho completamente dimenticato. Il controllo dei registri in circa 1 ora, con mia grande sorpresa, ha rivelato una chiave privata per me". Rubare il certificato è alta intensità di manodopera. Il tentativo di Indutny ha reso 2,5 milioni di richieste al server CloudFlare prima di aver finalmente ottenuto la chiave. Ma ciò che è stato pensato per essere impossibile ora risulta essere fattibile. 

I siti Web possono infatti essere indotti a rinunciare ai loro documenti di identità, e tali documenti possono essere riutilizzati da malintenzionati. Cambiare le password non protegge se viene fornita involontariamente ad un cracker che finge di essere il provider di Web mail. La buona notizia è che molti dei siti più importanti non erano vulnerabili a Heartbleed. Altri servizi come Facebook, Dropbox, OkCupid e Netflix, sono stati colpiti da Heartbleed e sono in fase di riemissione dei loro certificati o hanno completato il processo di revoca. Ma centinaia di migliaia di altri siti possono comunque essere esposti e McAfee ha messo a disposizione uno tool che ne consente la verifica.

Nessun commento:

Posta un commento