Luca Annunziata

Heartbleed, NSA forse sapeva (forse no)

I servizi USA negano ogni accusa di aver sfruttato il baco di OpenSSL. Ma scoppia la polemica sulle regole imposte da Obama. E si cerca di stabilire la portata dei danni

Roma - NSA nega, Bloomberg cita fonti anonime per dire che è tutto vero: la questione che circonda Heartbleed, il famigerato baco del protocollo OpenSSL che da giorni tiene banco nella comunità informatica (ed ha fatto capolino anche sulle prime pagine dei media mainstream), si va facendo complessa e controversa. In ballo c'è la sicurezza di migliaia e migliaia di siti, nonché dei milioni di navigatori che vi sono transitati: ed è per questo che in molti tentano di comprendere chi poteva essere a conoscenza del bug e chi potrebbe averlo sfruttato.

Riportando le più classiche fonti anonime, Bloomberg ha detto chiaro e tondo quanto in molti sussurravano da giorni: Heartbleed era stato scoperto da NSA anni addietro, forse poco dopo la sua erronea introduzione nel codice di OpenSSL, e gli agenti dell'intelligence non si sarebbero fatti scrupolo di usare l'errore di programmazione di cui era caduto vittima il protocollo per catturare e decifrare quante più comunicazioni possibili tra privati cittadini. Una prospettiva che appare quantomai credibile alla luce delle rivelazione fatte da Edward Snowden con le carte dello scandalo Datagate, ma che NSA ha voluto smentire categoricamente prima via Twitter e poi con un comunicato.


L'intelligence USA ha appreso dell'esistenza del baco solo la scorsa settimana, quando tutto il mondo è venuto a conoscenza di quanto scoperto nel codice di OpenSSL. Nel dettaglio, NSA ha voluto precisare che "Il Governo Federale fa affidamento su OpenSSL per proteggere la privacy degli utenti dei siti governativi e di altri servizi online. Questa Amministrazione prende seriamente le proprie responsabilità nel collaborare per mantenere Internet aperta, interoperabile, sicura e affidabile. Se il Governo Federale, compresa l'intelligence, avesse scoperto questa vulnerabilità prima dells scorsa settimana, avrebbe informato responsabilmente la community che gestisce OpenSSL".

Ma è proprio su questo punto che si innesta l'ulteriore polemica sull'argomento: davvero NSA avrebbe rivelato al pubblico una vulnerabilità potenzialmente in grado di fornire preziose informazioni all'intelligence? Contemporaneamente a questa polemica, una seconda è scaturita da quanto raccontato dal New York Times sulle nuove policy imposte da Obama a tutti i servizi dopo lo scandalo Datagate: tra le direttive emanate lo scorso gennaio, restate fino a questo punto riservate, si scopre che la Casa Bianca ha sì deciso di rendere obbligatoria la divulgazione di eventuali scoperte relative alla sicurezza dei prodotti informatici, ma ha al contempo autorizzato NSA a utilizzare un certo potere discrezionale nel caso in cui ci fosse "una evidente questione di sicurezza nazionale o di rispetto della legge".

Una definizione piuttosto vaga, che di fatto pone ancora una volta NSA al di sopra della legge e concede ai suoi membri la possibilità di tenere riservate preziose informazioni relative alla sicurezza di prodotti di largo consumo. La logica seguita da Obama dice che se ci sono circostanze nelle quali la sicurezza nazionale, il ritornello ripetuto in queste occasioni, possa essere garantita dallo sfruttamento di un baco come Heartbleed, allora NSA o qualsiasi altra agenzia a stelle e strisce avrebbe il diritto e il dovere di farlo: peccato che questa logica si scontri col fatto che in questo modo altre agenzie di altre nazioni, anche di paesi ostili, potrebbero individuare lo stesso baco e sfruttarlo allo stesso modo. Alla fine dei conti, la scelta di tenere una porta aperta per NSA finirebbe per lasciarla aperta per chiunque: invece che garantire la sicurezza, la posizione di Obama finisce per indebolirla a scapito di tutti.

Ancora una volta, le funzioni e il ruolo della NSA sono al centro di un corposo dibattito sullo scopo che le azioni dell'agenzia USA si prefiggono: tutto sta a dimostrare che effettivamente una politica di security through obscurity in senso lato, contraria ai principi stessi di chi ha creato un software open source come OpenSSL, sia capace davvero di fermare una guerra grazie alle informazioni ottenute dall'intelligence. Un assunto non ancora dimostrato, che ovviamente tiene banco nella disputa.

Per il resto, si tratta di quantificare i danni di questo insospettabile e incredibile baco affiorato nel codice di OpenSSL: contrariamente a quanto si riteneva fino alla fine della scorsa settimana, le prove hanno dimostrato che è effettivamente possibile recuperare chiavi di cifratura private da server affetti dalla vulnerabilità (e non ancora aggiornati). Non c'è ancora molta chiarezza sui tempi e i modi, ma di sicuro è stato confermato da almeno due diversi hacker che il recupero è fattibile: dunque l'esigenza di provvedere al più presto ad aggiornare i dispositivi e i servizi affetti (tutti quelli che utilizzano una versione di OpenSSL successiva alla 1.01, all'incirca prodotti e sviluppati da un paio d'anni a questa parte: potrebbero essere milioni di siti Web e non solo) e aggiornare le password per i propri account in giro per la Rete non si è fatta meno urgente, sebbene esistano delle manovre che possono mitigare la minaccia.

Ma non si può abbassare la guardia. Il mondo mobile, quasi tutto e in questo caso si parla di non meno di un miliardo di terminali (basti pensare ai milioni di Android venduti negli ultimi anni), deve fare i conti anch'esso con Heartbleed: e non sarà una passeggiata. Anche per questo, Steve Marquess di OpenSSL Foundation si è spinto a chiedere pubblicamente più fondi e sostegno da parte di governi e aziende per portare avanti un lavoro delicato come quello di garantire la riservatezza e la sicurezza delle transazioni protette di mezzo mondo.

Luca Annunziata
119 Commenti alla Notizia Heartbleed, NSA forse sapeva (forse no)
Ordina
  • tutti a cacare in testa a linux, ma il meno noto ma piu' cazzuto openbsd, come e' messo? anche la sua versione di openssl era prona all'errore?
    non+autenticato
  • - Scritto da: ...
    > tutti a cacare in testa a linux, ma il meno noto
    > ma piu' cazzuto openbsd, come e' messo? anche la
    > sua versione di openssl era prona
    > all'errore?

    si anche in openbsd, vedi reazione di de raadt. Cmq le critiche a linux sono da parte dei soliti ignoranti noti.
    non+autenticato
  • - Scritto da: miguel
    > Cmq le critiche a linux sono da parte dei soliti
    > ignoranti noti.

    il dato di fatto è che tutti i sistemi Linux sono affetti da questa falla da anni e nessuno se n'era accorto, questo la dice lunga sul mito "open source è più sicuro perché tutti ci possono mettere le mani sopra".
    non+autenticato
  • - Scritto da: diamine
    > - Scritto da: miguel
    > > Cmq le critiche a linux sono da parte dei
    > soliti
    > > ignoranti noti.
    >
    > il dato di fatto è che tutti i sistemi Linux sono
    > affetti da questa falla da anni e nessuno se
    > n'era accorto, questo la dice lunga sul mito
    > "open source è più sicuro perché tutti ci possono
    > mettere le mani
    > sopra".

    Il dato di fatto e' che tutti i sistemi closed sono affetti da ben altre falle da sempre e nessuno puo' farci niente, neanche se se ne accorge.
  • ecco, meglio. Se nessuno se ne accorge è meglio che se tutti vedono, e nessuno fa niente per correggere per 2 anni.
    non+autenticato
  • Hai capito quello che ha detto ?A bocca aperta
  • - Scritto da: panda rossa
    >
    > Il dato di fatto e' che tutti i sistemi closed
    > sono affetti da ben altre falle da sempre e
    > nessuno puo' farci niente, neanche se se ne
    > accorge.

    Qualcosa ci si può fare, ad esempio sfruttarle, o venderle.
    jaro
    321
  • - Scritto da: diamine

    > il dato di fatto è che tutti i sistemi Linux sono
    > affetti da questa falla da anni e nessuno se

    falso

    il bug non c'entra un tubo con linux ma con openssl

    tutti i software che usano openssl ne sono affetti

    i sistemi linux che usano gnutls non sono affetti, idem per tutti quelli che hanno compilato openssl senza l'heartbeat

    non capisco perchè si voglia estendere la colpa all'intero mondo opensource e addirittura a linux, che è un progetto completamente separato
    non+autenticato
  • - Scritto da: collione
    > il bug non c'entra un tubo con linux ma con
    > openssl
    >

    Si come no... Allora seguendo il tuo ragionamento una falla in IE non c'entra nulla con Windows.
    non+autenticato
  • Microsoft giurerebbe e spergiurrebbe di no...Sorride
    iRoby
    6904
  • - Scritto da: samantha

    > Si come no... Allora seguendo il tuo ragionamento
    > una falla in IE non c'entra nulla con
    > Windows.

    infatti è una falla in IE non di windows
    non+autenticato
  • Chi è che diceva che il software open source è sicuro perché tutti possono scovare le falle di sicurezza analizzando il codice sorgente?
    Rotola dal ridere
    non+autenticato
  • Infatti hanno trovato la falla.
    non+autenticato
  • - Scritto da: cicciobello
    > Infatti hanno trovato la falla dopo 2 anni

    Fixed.
    maxsix
    8958
  • - Scritto da: maxsix
    > - Scritto da: cicciobello
    > > Infatti hanno trovato la falla
    > dopo 2 anni

    >
    >
    > Fixed.

    Hai fretta?
    Paga.
    Il tempo e' denaro!
  • - Scritto da: panda rossa
    > - Scritto da: maxsix
    > > - Scritto da: cicciobello
    > > > Infatti hanno trovato la falla
    >
    > > dopo 2 anni

    > >
    > >
    > > Fixed.
    >
    > Hai fretta?
    > Paga.
    > Il tempo e' denaro!

    Certo.

    Ma vale anche:
    Hai fatto danni?
    Paga.
    Che è sempre ora.
    maxsix
    8958
  • - Scritto da: maxsix
    > - Scritto da: panda rossa
    > > - Scritto da: maxsix
    > > > - Scritto da: cicciobello
    > > > > Infatti hanno trovato la falla
    > >
    > > > dopo 2 anni

    > > >
    > > >
    > > > Fixed.
    > >
    > > Hai fretta?
    > > Paga.
    > > Il tempo e' denaro!
    >
    > Certo.
    >
    > Ma vale anche:
    > Hai fatto danni?
    > Paga.
    > Che è sempre ora.

    chi ti ha obbligato ad usare openssl?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: maxsix
    > > - Scritto da: panda rossa
    > > > - Scritto da: maxsix
    > > > > - Scritto da: cicciobello
    > > > > > Infatti hanno trovato la falla
    > > >
    > > > > dopo 2 anni

    > > > >
    > > > >
    > > > > Fixed.
    > > >
    > > > Hai fretta?
    > > > Paga.
    > > > Il tempo e' denaro!
    > >
    > > Certo.
    > >
    > > Ma vale anche:
    > > Hai fatto danni?
    > > Paga.
    > > Che è sempre ora.
    >
    > chi ti ha obbligato ad usare openssl?

    Qualcuno sicuramente.
    Lui e' abituato a prendere ordini: non c'e' spazio per la libera scelta nel suo mondo.
  • - Scritto da: panda rossa
    > - Scritto da: ...
    > > - Scritto da: maxsix
    > > > - Scritto da: panda rossa
    > > > > - Scritto da: maxsix
    > > > > > - Scritto da: cicciobello
    > > > > > > Infatti hanno trovato la
    > falla
    >
    > > > >
    > > > > > dopo 2 anni

    > > > > >
    > > > > >
    > > > > > Fixed.
    > > > >
    > > > > Hai fretta?
    > > > > Paga.
    > > > > Il tempo e' denaro!
    > > >
    > > > Certo.
    > > >
    > > > Ma vale anche:
    > > > Hai fatto danni?
    > > > Paga.
    > > > Che è sempre ora.
    > >
    > > chi ti ha obbligato ad usare openssl?
    >
    > Qualcuno sicuramente.
    > Lui e' abituato a prendere ordini: non c'e'
    > spazio per la libera scelta nel suo
    > mondo.

    lui non li cosidera ordini ma "perentori suggerimenti". sempre per il suo bene, o cosi' gli hanno insegnato a credere. poveraccio.
    non+autenticato
  • >
    > chi ti ha obbligato ad usare openssl?

    I servizi che uso.

    Come cliente.

    Che sono stati compromessi.

    Ma evidentemente non hai ancora capito cosa è e come funziona heartbleed.
    Ne tu, ne il tuo amico PR che state facendo figure ridicole a ripetizione.
    maxsix
    8958
  • - Scritto da: maxsix
    > >
    > > chi ti ha obbligato ad usare openssl?
    >
    > I servizi che uso.
    >
    > Come cliente.
    >
    > Che sono stati compromessi.
    >
    > Ma evidentemente non hai ancora capito cosa è e
    > come funziona
    > heartbleed.
    > Ne tu, ne il tuo amico PR che state facendo
    > figure ridicole a
    > ripetizione.

    anche il tuo account su apple.com? anche il tuo account su itunes? dicci, dicci....
    non+autenticato
  • La falla ha compromesso tutti quei servizi online (open/closed/MS/Linux/Apple/ecc) che si appoggiavano su Open SSL che é open .

    Il problema era Open SSL, che é open .
    non+autenticato
  • Chi è che diceva che il software open source è sicuro perché tutti possono scovare le falle di sicurezza?
    Rotola dal ridere
    non+autenticato
  • - Scritto da: diamine
    > Chi è che diceva che il software open source è
    > sicuro perché tutti possono scovare le falle di
    > sicurezza?
    > Rotola dal ridere

    E' vero.
    L'hanno scovata e corretta, infatti.

    Mentre le falle presenti nel closed sono ancora tutte li', nascoste a te, e ben note ai soliti noti, coi quali condividi connessione, cpu, dati e privacy.
  • - Scritto da: panda rossa
    > - Scritto da: diamine
    > > Chi è che diceva che il software open source
    > è
    > > sicuro perché tutti possono scovare le falle
    > di
    > > sicurezza?
    > > Rotola dal ridere
    >
    > E' vero.
    > L'hanno scovata e corretta, infatti.
    >

    Certo ! In ben DUE ANNI !

    > Mentre le falle presenti nel closed sono ancora
    > tutte li', nascoste a te, e ben note ai soliti
    > noti, coi quali condividi connessione, cpu, dati
    > e
    > privacy.

    Quali ?
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: panda rossa
    > > - Scritto da: diamine
    > > > Chi è che diceva che il software open
    > source
    > > è
    > > > sicuro perché tutti possono scovare le
    > falle
    > > di
    > > > sicurezza?
    > > > Rotola dal ridere
    > >
    > > E' vero.
    > > L'hanno scovata e corretta, infatti.
    > >
    >
    > Certo ! In ben DUE ANNI !
    >
    > > Mentre le falle presenti nel closed sono
    > ancora
    > > tutte li', nascoste a te, e ben note ai
    > soliti
    > > noti, coi quali condividi connessione, cpu,
    > dati
    > > e
    > > privacy.
    >
    > Quali ?

    che so, le migliaia falle scoperte in windows in questi anni ti dicono nulla? codice close, eppure...
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: panda rossa
    > > - Scritto da: diamine
    > > > Chi è che diceva che il software open
    > source
    > > è
    > > > sicuro perché tutti possono scovare le
    > falle
    > > di
    > > > sicurezza?
    > > > Rotola dal ridere
    > >
    > > E' vero.
    > > L'hanno scovata e corretta, infatti.
    > >
    >
    > Certo ! In ben DUE ANNI !

    Non mi risulta che quando viene tappata un falla su una schifezza Apple qualcuno renda noto da quanto tempo era lì...
    Shiba
    3709
  • - Scritto da: Shiba
    > Non mi risulta che quando viene tappata un falla
    > su una schifezza Apple qualcuno renda noto da
    > quanto tempo era
    > lì...

    Nooooo, non la fa mai nessuno.

    Mai nessuno ha ricordato che l'ultima falla su iOS é stata chiusa "in ben due giorni".

    Annoiato
    non+autenticato
  • - Scritto da: aphex_twin
    > - Scritto da: Shiba
    > > Non mi risulta che quando viene tappata un
    > falla
    > > su una schifezza Apple qualcuno renda noto da
    > > quanto tempo era
    > > lì...
    >
    > Nooooo, non la fa mai nessuno.
    >
    > Mai nessuno ha ricordato che l'ultima falla su
    > iOS é stata chiusa "in ben due
    > giorni".
    >
    > Annoiato

    Due giorni da quando è stata trovata o due giorni da quando è stata introdotta?
    Shiba
    3709
  • - Scritto da: Shiba
    > - Scritto da: aphex_twin
    > > - Scritto da: Shiba
    > > > Non mi risulta che quando viene tappata
    > un
    > > falla
    > > > su una schifezza Apple qualcuno renda
    > noto
    > da
    > > > quanto tempo era
    > > > lì...
    > >
    > > Nooooo, non la fa mai nessuno.
    > >
    > > Mai nessuno ha ricordato che l'ultima falla
    > su
    > > iOS é stata chiusa "in ben due
    > > giorni".
    > >
    > > Annoiato
    >
    > Due giorni da quando è stata trovata o due giorni
    > da quando è stata
    > introdotta?

    Due giorni DOPO che e' stata comunicata.
    E' questa la cosa grave.
  • ... oggi li chiedi?
    Dopo che per anni hai fatto il verso a tutto il mondo economico facendo bandiera del fatto che si fa tutto senza soldi, oggi DOPO il disastro chiedi più soldi?

    In galera.
    Subito.
    maxsix
    8958
  • - Scritto da: maxsix
    > ... oggi li chiedi?
    > Dopo che per anni hai fatto il verso a tutto il
    > mondo economico facendo bandiera del fatto che si
    > fa tutto senza soldi, oggi DOPO il disastro
    > chiedi più
    > soldi?

    Non vuoi pagare? Non pagare.

    Non e' il software che paghi, ma il tempo.

    C'e' chi 2 anni sono una inezia, c'e' chi 2 anni sono una eternita'.

    Hai fretta? Paga.
    Puoi aspettare? Aspetta gratis.

    > In galera.
    > Subito.

    Con quale imputazione?
    Ti ricordo che la circonvenzione di incapace e' un brevetto esclusivo apple e quindi non puo' essere usata.
  • BENE ha fatto marquess (il 'boss' della fondazione di openssl) a scrivere il post che ha scritto ( cfr http://veridicalsystems.com/blog/of-money-responsi.../ )... magari lo poteva fare il primo gg.

    fakebook spende gazillioni in wazzappa, e openssl tira $2000 di donazioni l'anno ...
    non+autenticato
  • - Scritto da: bubba
    > BENE ha fatto marquess (il 'boss' della
    > fondazione di openssl) a scrivere il post che ha
    > scritto ( cfr
    > http://veridicalsystems.com/blog/of-money-responsi
    >
    > fakebook spende gazillioni in wazzappa, e openssl
    > tira $2000 di donazioni l'anno
    > ...


    Bubba, sei un grande ed il tuo contributo è sempre interessante, cosa ci fai qua su PI?
    Detto questo, l'open-source è così, se la licenza lo permette si può prendere a sbafo e buonanotte. OSF probabilmente rimmarà in piedi ancora a lungo, ma progetti usatissimi ma morti per mancanza di donazioni ne ho visti e sempre ci saranno.
    non+autenticato
  • - Scritto da: machedici
    > - Scritto da: bubba
    > > BENE ha fatto marquess (il 'boss' della
    > > fondazione di openssl) a scrivere il post
    > che
    > ha
    > > scritto ( cfr
    > >
    > http://veridicalsystems.com/blog/of-money-responsi
    > >
    > > fakebook spende gazillioni in wazzappa, e
    > openssl
    > > tira $2000 di donazioni l'anno
    > > ...
    >
    >
    > Bubba, sei un grande ed il tuo contributo è
    > sempre interessante, cosa ci fai qua su
    > PI?
    AH! LOL, thanks... beh cerco di fare il contraltare a quell'anomalia (chiamata maxsix, legu, aphex_twin ecc) presente nell'equazione non bilanciata chiamata Forum di P.I. ...un'anomalia che nonostante i miei più onesti sforzi non sono stato in grado di eliminare da quella che altrimenti sarebbe un'armonia di precisione matematica.A bocca aperta

    > Detto questo, l'open-source è così, se la licenza
    > lo permette si può prendere a sbafo e buonanotte.
    > OSF probabilmente rimmarà in piedi ancora a
    > lungo, ma progetti usatissimi ma morti per
    > mancanza di donazioni ne ho visti e sempre ci
    > saranno.
    claro... pero' direi che e' di estremo imbarazzo che rastrellatori di dati come facebook trovino buono spendere 1 miliardo di $ per una chat (vale anche per "Mr. FUD" Microsoft, la Mela con angoli arrotondati, "Mr. simpatia" Oracle ecc ), ma non si interessino quasi per nulla di architravi (ma poco appariscenti) come Openssl ...

    Prendo per buono il ormai 'mitologico' https://www.peereboom.us/assl/assl/html/openssl.ht... ... e allora damn... finanziate 5-10 programmatori per 1 anno per revisionare e/o creare una nuova build moderna (magari uguale per l'enduser e con call similari per il linker)
    non+autenticato
  • quoto totalmente

    comprano start up farlocche e appariscenti, hanno portafogli gonfi, liquidità e credito a non finire ma un reale contributo all'open source mai, e tra server, protocolli, linguaggi di programmazione, sistemi operativi, librerie SBAFANO a più non posso

    se qualcuna tra banche, server farm, autorità di certificazione, mutlinazionali ecc si lamenta di OpenSSL.....CACCHI VOSTRI! Un servizio critico che ti prnedi a sbafo senza contribuire..chi è il pazzo?

    e poi il software da sempre si da AS IT IS e WITHOUT WARRANTY...vuoi dare a qualcuno la repsonsabilità..PAGHI per questo

    e poi ci dobbiamo pure sorbire trolloni che danno dei "canttinari" a sviluppatori che a cui non meritano nemmeno di allacciare le scarpe
    non+autenticato
  • - Scritto da: bubba
    > BENE ha fatto marquess (il 'boss' della
    > fondazione di openssl) a scrivere il post che ha
    > scritto ( cfr
    > http://veridicalsystems.com/blog/of-money-responsi
    >
    > fakebook spende gazillioni in wazzappa, e openssl
    > tira $2000 di donazioni l'anno
    > ...


    molto interessante, ho appena fatto una donazione
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)