La libreria OpenSSL (usata per cifrare le connessioni SSL/TLS su protocollo HTTPS) è bucata, lo è da un paio d’anni e il baco è talmente grave da poter teoricamente invalidare completamente la protezione crittografica fornita dalla tecnologia. Ad annunciare l’esistenza del bug è CloudFlare , società di CDN (Content Delivery Network) che fa ampio uso di OpenSSL e che ha lavorato dietro le quinte per chiudere la falla prima di rivelarne l’esistenza al pubblico.
Come indicato anche nell’ advisory su OpenSSL.org , la nuova vulnerabilità nelle tecnologie SSL – certo non nuove a questo genere di problemi – permette a un malintenzionato di rivelare fino a 64 Kilobyte di memoria a un client o server connesso potenzialmente compromettendo le chiavi segrete usate per cifrare il traffico telematico, le comunicazioni “sicure” su SSL/TLS e le identità verificate di utenti e servizi Web.
Il bug è presente nel codice di OpenSSL fin dal marzo 2012, almeno nelle versioni della libreria precedenti alla 1.0.1g e successive alla 1.0.0 (che non è vulnerabile assieme alla 0.9.8). CloudFlare ha già chiuso la falla nel codice adottato sui suoi server, mentre per la versione pubblica di OpenSSL si attende la release 1.0.2 (e precisamente la 1.0.2-beta2) per risolvere la questione in maniera definitiva. Poi toccherà ovviamente agli amministratori di sistema aggiornare.
L’insidia di questo bug è che la patch da sola non basterà a risolvere il problema: tutte le chiavi emesse negli ultimi anni andrebbero richiamate , nel dubbio che possano essere state intercettate e causare quindi un’epidemia ritardata. Inoltre, il bug se sfruttato non ha lasciato tracce per comprendere se effettivamente si sia stati vittime di un attacco per carpire dati preziosi: gli admin dovranno rimboccarsi le maniche per venire a capo della faccenda, e non mancherà probabilmente qualche seccatura anche per gli utenti dei servizi che si sono appoggiati fin qui a OpenSSL.
Alfonso Maruccia
Ti potrebbe interessare
8 apr 2014