Alfonso Maruccia

Heartbleed, arresti e patch

In Canada si arrestano i primi responsabili di aver abusato dell'oramai famigerato baco in OpenSSL, mentre il resto del mondo scopre nuovi software vulnerabili e corre contro il tempo per patcharli

Roma - Cominciano a trapelare i primi casi di accuse formulate per lo sfruttamento malevolo di Heartbleed, il famigerato e "catastrofico" bug nella libreria OpenSSL che ha inguaiato mezzo mondo interconnesso: il primo ad avere l'onore di essere arrestato a causa del bug è Stephen Arthuro Solis-Reyes, diciannovenne studente di informatica che ha compromesso i dati registrati nei server della Canada Revenue Agency (CRA).

Come molti altri servizi telematici, anche CRA è stata colpita dalla presenza del bug, mettendo offline il sistema di dichiarazione del redditi via Internet un giorno dopo aver avuto notizia dell'esistenza del problema. Il breve tempo di intermezzo è stato ad ogni modo sufficiente perché ignoti malviventi entrassero nei server e compromettessero le informazioni dei cittadini canadesi.

Solis-Reyes non farebbe più parte della categoria degli "ignoti", però: è stato arrestato nella sua casa nell'Ontario con l'accusa di aver "rubato" i dati inerenti 900 contribuenti canadesi. E piuttosto probabile che il giovane non sarà l'ultimo ad essere accusato di aver sfruttato il bug in OpenSSL per mettere le mani su informazioni sensibili, uno dei fronti sicuramente più caldi del "day-after" della crisi Heartbleed.
La crisi è infatti destinata a far sentire a lungo i propri effetti, visto che i servizi basati su VPN come OpenVPN e Tor hanno scoperto di essere vulnerabili (nell'ultimo caso si parla di una rimozione di nodi in uscita per un 12 per cento del totale) e visto che anche un colosso come Akamai pasticcia con le patch rilasciandone una seconda dopo aver risolto solo parzialmente il problema con la prima.

Nota (probabilmente) positiva sulla crisi Heartbleed è il fatto che, stando ai ricercatori, la falla non è stata (probabilmente) attivamente sfruttata prima di essere resa nota alla community mondiale. Ciò è probabilmente da imputare al modo in cui è stata gestita la disclosure pubblica del bug, in una timeline fitta di prese di posizione e avvenimenti.

Alfonso Maruccia
Notizie collegate
35 Commenti alla Notizia Heartbleed, arresti e patch
Ordina
  • vorrei sapere xke in tanti insistono in giro dicendo che questo bug è stato scoperto questo aprile ...quando invece è stato scoperto circa 2 anni fa ...e ..in questo aprile ...è stata "solo" rilasciata la patch ufficiale ... MAHHHH eppure tante testate informative continuano a divulgare questa falsa informazione
    non+autenticato
  • - Scritto da: marco
    > vorrei sapere xke in tanti insistono in giro
    > dicendo che questo bug è stato scoperto questo
    > aprile ...quando invece è stato scoperto circa 2
    > anni fa ...e ..in questo aprile ...è stata "solo"
    > rilasciata la patch ufficiale ... MAHHHH eppure
    > tante testate informative continuano a divulgare
    > questa falsa informazione

    E' stato inserito 2 anni fa, e' stato scoperto qualche giorno fa.

    Quindi e' battuto da qualsiasi bug scoperto dopo 2 anni in un SO proprietario, in pratica gli ultimi bug di XP avevano piu' di 12 anni.
    krane
    22544
  • e che c'azzecca Windows XP con la notizia?

    ci rientra invece quelle che indica come TOR, la rete fantasma-alternativa ultra sicura che fa solo uso di server open-source, gestiti da ultra-skillati esperti di sicurezza informatica, abbai gia' bannato qualcosa come circa 400 dei suoi server, ancora buggati Heartbleed e abbia previsto di fare altrettanto con un ulteriore migliaio:


    http://www.networkworld.com/news/2014/041714-tor-a...


    ah ah ah ah

    alla faccia della rete sicura e dei megaesperti in sicurezza
    non+autenticato
  • - Scritto da: tucumpatch
    > e che c'azzecca Windows XP con la notizia?

    Si parla di bug vecchi due anni, ma qualsiasi so su cui vengano trovati buchi dopo due anni ha fatto peggio, quindi ?

    > ci rientra invece quelle che indica come TOR, la
    > rete fantasma-alternativa ultra sicura che fa
    > solo uso di server open-source, gestiti da
    > ultra-skillati esperti di sicurezza informatica,
    > abbai gia' bannato qualcosa come circa 400 dei
    > suoi server, ancora buggati Heartbleed e abbia
    > previsto di fare altrettanto con un ulteriore
    > migliaio:
    >
    >
    > http://www.networkworld.com/news/2014/041714-tor-a
    >
    >
    > ah ah ah ah
    >
    > alla faccia della rete sicura e dei megaesperti
    > in sicurezza

    Restane fuori e continua a usare windows se ti sembra piu' sicuro, che problema c'e' ?
    krane
    22544
  • - Scritto da: krane

    >
    > Restane fuori e continua a usare windows se ti
    > sembra piu' sicuro


    gia' fatto, non ne ho ancora avuto bisogno


    > che problema c'e'?

    il problema per me infatti non esiste così allo stesso modo come non esiste per te quello di Windows XP, che se non sbaglio rifuggi come la peste ma continui sempre a parlarne

    il problema per tutti gli altri che hanno usato TOR negli ultimi tre anni, invece esiste eccome: possibilmente le loro comunicazioni ritenute sicure falsamente sicure, sono state alla merce' di chiunque passava di la'. e lo sono ancora

    e' di questo che l'articolo di networkworld riferiva, se hai avuto modo di leggerlo, tradurlo e comprenderlo

    non dirmi che tra i possibili spiati in questo lungo periodo, potresti esserci anche tu?
    non+autenticato
  • - Scritto da: tucumpatch
    > - Scritto da: krane

    > > Restane fuori e continua a usare windows se ti
    > > sembra piu' sicuro

    > gia' fatto, non ne ho ancora avuto bisogno

    > > che problema c'e'?

    > il problema per me infatti non esiste così allo
    > stesso modo come non esiste per te quello di
    > Windows XP, che se non sbaglio rifuggi come la
    > peste ma continui sempre a parlarne

    Sara' che sono costretto ad usarlo per 3 motivi:
    Jagged alliance
    Civilization 5
    (new Entry!) Might & Magic X: Legacy

    Questo mi costringe a tenere un windows sempre piu' minimale installato.
    Questo fa si che io possa confrontare direttamente i vantaggi e gli svantaggi.

    > il problema per tutti gli altri che hanno usato
    > TOR negli ultimi tre anni, invece esiste eccome:
    > possibilmente le loro comunicazioni ritenute
    > sicure falsamente sicure, sono state alla
    > merce' di chiunque passava di la'. e lo sono
    > ancora

    > e' di questo che l'articolo di networkworld
    > riferiva, se hai avuto modo di leggerlo, tradurlo
    > e comprenderlo

    > non dirmi che tra i possibili spiati in
    > questo lungo periodo, potresti esserci
    > anche tu?

    Difficile, visto che il mio router ha qualche annetto in piu.
    krane
    22544
  • - Scritto da: krane

    > Sara' che sono costretto ad usarlo per 3 motivi:
    > Jagged alliance
    > Civilization 5
    > (new Entry!) Might & Magic X: Legacy
    >
    > Questo mi costringe a tenere un windows sempre
    > piu' minimale
    > installato.
    > Questo fa si che io possa confrontare
    > direttamente i vantaggi e gli
    > svantaggi.
    >


    a parte il fatto che devi necessariamente accontententarti di DX9 (nulla di male in assoluto), non mi dirai per caso che usi Windows XP per videogiocare online?

    sei forte amante del rischio, allora :asd:



    >
    > Difficile, visto che il mio router ha qualche
    > annetto in piu.


    questa non l'ho capita, ma certamente esistera' un perche'
    non+autenticato
  • - Scritto da: tucumpatch
    > - Scritto da: krane

    > > Sara' che sono costretto ad usarlo per 3 motivi:
    > > Jagged alliance
    > > Civilization 5
    > > (new Entry!) Might & Magic X: Legacy

    > > Questo mi costringe a tenere un windows sempre
    > > piu' minimale installato.
    > > Questo fa si che io possa confrontare
    > > direttamente i vantaggi e gli
    > > svantaggi.

    > a parte il fatto che devi necessariamente
    > accontententarti di DX9 (nulla di male in
    > assoluto), non mi dirai per caso che usi
    > Windows XP per videogiocare online?

    Ma ti sembrano giochi da giocare online ?
    Civilization al massimo in hotseat.

    > sei forte amante del rischio, allora :asd:

    La rete a windows la attacco ogni tanto quando mi ricordo giusto per fare gli aggiornamenti e poi la stacco subito.

    > > Difficile, visto che il mio router ha qualche
    > > annetto in piu.

    > questa non l'ho capita, ma certamente
    > esistera' un perche'

    Certo: non esponendo alcun servizio alla rete e' il mio router quello che si affaccia su internet, ergo devono burarmi il router per arrivare al pc.
    krane
    22544
  • - Scritto da: krane

    > Ma ti sembrano giochi da giocare online ?
    > Civilization al massimo in hotseat.
    >

    avrai comprensione di me che il mio tempo lo passo a fare altro e non ne capisco molto di giochi online, ma a giudicare da san Google:

    https://www.google.it/search?hl=it&source=hp&q=civ...


    sembrerebbe che si puo' fare

    http://www.pcgamer.com/2013/07/17/civilization-5s-.../

    http://steamcommunity.com/app/8930/discussions/0/8.../

    http://civilization.wikia.com/wiki/Civilization_5_...



    >
    > La rete a windows la attacco ogni tanto quando mi
    > ricordo giusto per fare gli aggiornamenti e poi
    > la stacco
    > subito.
    >

    ah, perche' le minacce in giro per la rete, una volta saputo che sei tu e che usi Windows XP una tantum, pensi ti tratteranno meglio?


    >
    > Certo: non esponendo alcun servizio alla rete e'
    > il mio router quello che si affaccia su internet,
    > ergo devono burarmi il router per arrivare al
    > pc.


    ma per chiunque sia stato su TOR (compreso te, eventualmente) il problema creato dal bug Heartbleed, sul contenuto pseudo-protetto delle singole comunicazioni, si sarebbe verificato tra i cosiddetti Guard-Relay ed Exit-Relay direttamente in TOR, non sul proprio router di casa/ufficio

    ho idea che tu non abbia bene presente il funzionamento delle comunicazioni in rete
    non+autenticato
  • - Scritto da: tucumpatch
    > - Scritto da: krane

    > > Ma ti sembrano giochi da giocare online ?
    > > Civilization al massimo in hotseat.

    > avrai comprensione di me che il mio tempo lo
    > passo a fare altro e non ne capisco molto di
    > giochi online, ma a giudicare da san Google:

    > sembrerebbe che si puo' fare

    Per quello ho specificato che al massimo gioco in hotseat, ovvero in piu' persone davanti allo stesso pc. Di giocare con sconosciuti via rete proprio non me ne puo' frega' de menoSorride
    Ma anche con conosciuti via rete, senza una birra e due bicchieri non sono mai riuscito a concepire il gioco tra amiciA bocca aperta

    > > La rete a windows la attacco ogni tanto
    > > quando mi ricordo giusto per fare gli
    > > aggiornamenti e poi la stacco subito.

    > ah, perche' le minacce in giro per la rete, una
    > volta saputo che sei tu e che usi Windows XP
    > una tantum, pensi ti tratteranno meglio?

    E chi dovrebbe attaccarmi ? Ma soprattutto come ?
    Non uso servizi, manco il web e passivamente sono dietro al router e non son piu' i tempi in cui i router facevano passare tutto e potevi trovarti un XP evirato prima ancora di finire di installarlo e patcharlo.

    > > Certo: non esponendo alcun servizio alla
    > > rete e' il mio router quello che si affaccia
    > > su internet, ergo devono burarmi il router
    > > per arrivare al pc.

    > ma per chiunque sia stato su TOR (compreso
    > te, eventualmente) il problema creato dal bug
    > Heartbleed, sul contenuto pseudo-protetto delle
    > singole comunicazioni, si sarebbe verificato tra
    > i cosiddetti Guard-Relay ed Exit-Relay
    > direttamente in TOR, non sul proprio router di
    > casa/ufficio

    Fortunatamente e' un po' che non lo uso, sulla debian che uso attualmente non l'ho ancora installato.

    > ho idea che tu non abbia bene presente il
    > funzionamento delle comunicazioni in rete

    Certo certo.
    krane
    22544
  • - Scritto da: tucumpatch
    > - Scritto da: krane
    >
    > > Ma ti sembrano giochi da giocare online ?
    > > Civilization al massimo in hotseat.
    > >
    >
    > avrai comprensione di me che il mio tempo lo
    > passo a fare altro e non ne capisco molto di
    > giochi online,

    Perche' mai dovremmo avere comprensione di un ignorante per sua stessa ammissione che pretende di mettere becco in argomnti che non capisce, e pretende pure di avere ragione?

    No, nessuna comprensione.

    Anzi, nel tuo caso pure disprezzo, visti i titoli citati.



    > ma a giudicare da san Google:
    >
    >
    > https://www.google.it/search?hl=it&source=hp&q=civ
    >
    >
    > sembrerebbe che si puo' fare
    >
    > http://www.pcgamer.com/2013/07/17/civilization-5s-
    >
    > http://steamcommunity.com/app/8930/discussions/0/8
    >
    > http://civilization.wikia.com/wiki/Civilization_5_
    >

    Si PUO' fare non significa che si DEVE fare.
    Civ e' da sempre un gioco single player anche se dalla versione 3 hanno anche inserito modalita' multiplayer.
    Nessuno di quelli che conosco (e ne conosco centinaia di giocatori di civ in tutto il mondo) ha mai giocato a civ con l'intento di farlo online.
    Tutti giocano in single player, e poi, OGNI TANTO, se capita, organizzano sessioni multiplayer se riescono.

    Quindi no, civ non e' proprio un game multiplayer.

    > > La rete a windows la attacco ogni tanto quando
    > mi
    > > ricordo giusto per fare gli aggiornamenti e poi
    > > la stacco
    > > subito.
    > >
    >
    > ah, perche' le minacce in giro per la rete, una
    > volta saputo che sei tu e che usi Windows XP una
    > tantum, pensi ti tratteranno meglio?

    Tu la strada la attraversi mai?

    > > Certo: non esponendo alcun servizio alla rete e'
    > > il mio router quello che si affaccia su
    > internet,
    > > ergo devono burarmi il router per arrivare al
    > > pc.
    >
    >
    > ma per chiunque sia stato su TOR (compreso te,
    > eventualmente) il problema creato dal bug
    > Heartbleed, sul contenuto pseudo-protetto delle
    > singole comunicazioni, si sarebbe verificato tra
    > i cosiddetti Guard-Relay ed Exit-Relay
    > direttamente in TOR, non sul proprio router di
    > casa/ufficio

    Ricavando che cosa?

    > ho idea che tu non abbia bene presente il
    > funzionamento delle comunicazioni in
    > rete

    Tu sicuramente ancora meno.
    TOR espone uno strato, dentro il quale ci possono essere altri protocolli.

    E comunque ormai e' passato.
    Dobbiamo forse preoccuparci di cose gia' passate sulle quali non e' possibile fare piu' nulla?
  • Non so che hai da ridere... se il baco ha causato danni, è più probabile che ad essere danneggiato sia stato tu piuttosto che noi, visto che tu dici usare la rete per spendere soldi, cosa che noi non facciamo.
    non+autenticato
  • - Scritto da: cicciobello
    > Non so che hai da ridere... se il baco ha causato
    > danni, è più probabile che ad essere danneggiato
    > sia stato tu piuttosto che noi, visto che tu dici
    > usare la rete per spendere soldi, cosa che noi
    > non
    > facciamo.
    mai sentito parlare di negozi?
    non+autenticato
  • Negozi di dischi? Me ne parlavano anni fa... ormai sono scomparsi. In compenso ci sono molti negozi di kebab.
    non+autenticato
  • - Scritto da: cicciobello
    > Negozi di dischi? Me ne parlavano anni fa...
    > ormai sono scomparsi. In compenso ci sono molti
    > negozi di
    > kebab.

    E i negozi di kebab sono all'avanguardia in fatto di sicurezza nelle transazioni finanziarie: prendono solo contanti, o al massimo i ticket restaurant.
  • - Scritto da: panda rossa
    > - Scritto da: cicciobello
    > > Negozi di dischi? Me ne parlavano anni fa...
    > > ormai sono scomparsi. In compenso ci sono
    > molti
    > > negozi di
    > > kebab.
    >
    > E i negozi di kebab sono all'avanguardia in fatto
    > di sicurezza nelle transazioni finanziarie:
    > prendono solo contanti
    Chiamali stupidi
    non+autenticato
  • - Scritto da: cicciobello
    > Negozi di dischi? Me ne parlavano anni fa...
    > ormai sono scomparsi.
    Quanta ignoranza...
    non+autenticato
  • Quanti ne vedi in giro?
    non+autenticato
  • - Scritto da: cicciobello
    > Quanti ne vedi in giro?
    http://en.wikipedia.org/wiki/Record_Store_Day
    non+autenticato
  • Certo, mi ricordo benissimo: lo slogan era "Salviamo i negozi di dischi"... una chiara ammissione che i negozi di dischi erano una specie in via di estinzione.
    non+autenticato
  • - Scritto da: 2014
    > - Scritto da: cicciobello
    > > Negozi di dischi? Me ne parlavano anni fa...
    > > ormai sono scomparsi.
    > Quanta ignoranza...

    Non parlava mica di hard disk.
    Parlava di CD.

    Sai quei cosi di plastica col buco che si usavano nello scorso millennio quando non era ancora possibile scaricarsi gli mp3 dalla rete alla faccia degli intermediari parassiti?

    Quelli sono i dischi a cui si riferiva.
  • Che arrestino gli incapaci che hanno creato quella voragine in OpenSSL
    non+autenticato
  • - Scritto da: incredulo
    > Che arrestino gli incapaci che hanno
    > creato quella voragine in OpenSSL

    Hai firmato l'EULA ?
    Allora non ti lamentare.
    krane
    22544
  • - Scritto da: krane
    > Hai firmato l'EULA ?
    No.
    non+autenticato
  • - Scritto da: incredulo
    > - Scritto da: krane
    > > Hai firmato l'EULA ?
    > No.

    A beh, allora...
    krane
    22544
  • - Scritto da: incredulo
    > Che arrestino gli incapaci che hanno creato
    > quella voragine in
    > OpenSSL

    se volessero arrestare tutti quelli che inserisco bug nel software, a quest'ora le multinazionali non avrebbero più programmatoriA bocca aperta
    non+autenticato
  • Ma per fortuna ci sei tu, che fai tutto perfettamente!!!
    non+autenticato