Alfonso Maruccia

Per un futuro senza Heartbleed

Il day-after del "catastrofico" baco si arricchisce di retroscena e polemiche, minacce di nuove apocalissi telematiche e promesse di sostanziosi investimenti pro-sicurezza

Roma - Lungi dal concludersi con l'aggiornamento delle versioni di OpenSSL ancora vulnerabili, il dibattito sul bug noto come Heartbleed continua a sfornare nuove polemiche e argomenti di discussione. Ancora una volta sono coinvolti tutti, dalle grandi corporation - colpevoli di non aver supportato abbastanza il progetto - agli hacker alla caccia di nuovi bachi "apocalittici" in stile Heartbleed.

Un retroscena che è sicuramente destinato a lasciare il segno è quello sull'impegno profuso nella gestione e nella cura di OpenSSL, un componente di sicurezza essenziale per la parte di Internet più frequentata dagli utenti ma che è stato sin qui curato da appena due sviluppatori - uno solo dei quali impegnato a tempo pieno - e donazioni di appena 2.000 dollari l'anno.

Fortunatamente il caso Heartbleed sembra avere insegnato qualcosa alle grandi aziende, e ora accanto a Steve Marquess e Stephen Henson (i due sviluppatori di cui sopra) dovrebbero arrivare un bel po' di forze fresche e OpenSSL dovrebbe giovarsi di finanziamenti "multi-milionari" gestiti da Linux Foundation con il contributo di colossi del calibro di Microsoft, Intel, Google, Facebook e Qualcomm.
Anche Mozilla, nel suo piccolo, offre un discreto compenso monetario (10.000 dollari) a chi sarà in grado di rafforzare il codice di Firefox contro bug potenzialmente simili a Heartbleed in tempo per la release 31 del browser open source. Nell'underground telematico si discute infine su una nuova, presunta vulnerabilità individuata in OpenSSL pericolosa come il succitato Heartbleed. Si tratta probabilmente di una truffa, almeno in questo caso.

Alfonso Maruccia
Notizie collegate
37 Commenti alla Notizia Per un futuro senza Heartbleed
Ordina
  • Per quanto riguarda il numero di sviluppatori di OpenSSL, credo che meno sono e meglio è, visto che stiamo parlando di software crittografico; un progetto del genere, distribuito su Internet tra una miriade di sviluppatori che neppure si conoscono tra loro, non penso sia una buona idea. In casi del genere, difficilmente si può applicare il concetto di open source a cui tutti contribuiscono.

    Come si suol dire, affinché tre persone possano mantenere un segreto, almeno due di esse devono essere morte!

    A parte questo, come ho già scritto altre volte, è ancora da stabilire se si sia trattato di una svista; un programmatore che si occupa di software crittografico, ci pensa 10000 volte prima di scrivere:

    memcpy(destinazione, sorgente, dimensione)

    senza andare a verificare il valore contenuto nella variabile "dimensione" (numero di byte da trasferire da "sorgente" a "destinazione").

    Il tizio che ha apportato questa "modifica" a OpenSSL dice che si è dimenticato di validare la variabile "dimensione"; il suo collega, revisore del codice (che stava li proprio per maggiore sicurezza), non si è accorto di nulla.

    Allora, ripeto quanto avevo già scritto: o questi qui sono due cogl...., totalmente inetti ed incapaci, oppure due anni fa, sul conto in banca dei due tizi, qualcuno ha accreditato un bel po' di soldini ...
    non+autenticato
  • >
    > Come si suol dire, affinché tre persone possano
    > mantenere un segreto, almeno due di esse devono
    > essere
    > morte!
    >

    Nei software open source non ci sono segreti, nemmeno nei programmi crittografici: anche vedendo il codice sorgente, se non hai le chiavi non puoi decifrare i dati.

    Se hai bisogno di tenere nascosto il funzionamento del software per assicurarti che nessuno possa accedere ai dati cifrati si parla di security through obscurity:

    http://it.m.wikipedia.org/wiki/Sicurezza_tramite_s...
    non+autenticato
  • - Scritto da: Alvaro Vitali
    >
    > A parte questo, come ho già scritto altre volte,
    > è ancora da stabilire se si sia trattato di una
    > svista; un programmatore che si occupa di
    > software crittografico, ci pensa 10000 volte
    > prima di scrivere:
    >
    > memcpy(destinazione, sorgente, dimensione)
    >
    > senza andare a verificare il valore contenuto
    > nella variabile "dimensione" (numero di byte da
    > trasferire da "sorgente" a "destinazione").
    >

    Mah, non serve scomodare la malafede quando l'incompetenza basta.
    Noi non ci occupiamo di software crittografico, ma la mia battaglia per convincere i colleghi a non usare strcpy, sprintf e simili, in favore di equivalenti che controllino la dimensione del buffer di destinazione, è persa da sempre. La libreria standard C non aiuta, ad esempio non terminando la stringa creata da strncpy se non ci sta nel buffer, ma il problema è proprio la gente che SA eppure se ne frega lo stesso: per farsi una strncpy "corretta" bastano due minuti.
    Izio01
    3896
  • - Scritto da: Izio01
    > La
    > libreria standard C non aiuta, ad esempio non
    > terminando la stringa creata da strncpy se non ci
    > sta nel buffer, ma il problema è proprio la gente
    > che SA eppure se ne frega lo stesso: per farsi
    > una strncpy "corretta" bastano due
    > minuti.

    Il punto e' che la fai una volta e poi la metti in libreria.
    Non si dovrebbe consentire di lavorare col C a gente che si e' formata col visual basic.
  • Devo fare ammenda.

    Qualche articolo fa avevo commentato dicendo che da una parte le colpe erano delle aziende che non finanziavano il progetto e dall'altra dei programmatori che dopo la famosa storia di Debian, andavano giù troppo di birra anche su un pezzo di software strategico come OpenSSL.

    Mentre la prima delle due tesi, fortemente osteggiata dai geniacci di queste parti, si è poi rivelata impeccabile (tiè !), sulla seconda devo fare ammenda.

    Se c'era un tizio impiegato a tempo pieno, per 2000 dollari l'anno, probabilmente una birra seria non poteva nemmeno permettersela.

    Ora stanno incominciando a capire che il software e in particolare l'open source non è tutto uguale.

    C'è roba sperimentale, programmi di fama più o meno consolidata e software ad alta criticità come le OpenSSL, che deve essere sviluppato con approccio professionale, documentato e testato.

    Sono quelli che ci guadagnano i miliardi a doverlo fare.
    non+autenticato
  • - Scritto da: Quelo

    > Sono quelli che ci guadagnano i miliardi a
    > doverlo
    > fare.

    che poi faranno scrivere quel software a stagisti sottopagati che lavorano 14 ore al giorno

    che poi inseriranno delle backdoor perchè gliel'ha detto la NSA

    ecc...

    oggi lo strumento c'è, è il crowdfunding, ha funzionato per l'auditing di truecrypt e può funzionare per qualsiasi altra cosa
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: Quelo
    >
    > > Sono quelli che ci guadagnano i miliardi a
    > > doverlo
    > > fare.
    >
    > che poi faranno scrivere quel software a stagisti
    > sottopagati che lavorano 14 ore al
    > giorno
    >
    > che poi inseriranno delle backdoor perchè
    > gliel'ha detto la
    > NSA
    >
    > ecc...
    >
    > oggi lo strumento c'è, è il crowdfunding, ha
    > funzionato per l'auditing di truecrypt e può
    > funzionare per qualsiasi altra
    > cosa

    > oggi lo strumento c'è, è il crowdfunding, ha
    > funzionato per l'auditing di truecrypt e può
    > funzionare per qualsiasi altra
    > cosa

    Si, non intendevo dire che le aziende devono sviluppare le openssl, devono mettere semplicemente a disposizione i MEZZI anche non solo economici.

    Due tizi più o meno professionisti, non possono portare avanti lo sviluppo di un progetto essenziale per la sicurezza dei server mondiali, ci vogliono task forces e un gran numero di persone dedicate ai test, che non devono essere gli stessi che si dedicano allo sviluppo e tante altre cose.

    La debian STABLE sta un anno e mezzo in test, è uscita da due anni, possibile che un signor Google o un signor Facebook si siano svegliati ora ?

    Uno scrive una cazz.... per sbaglio, magari di notte mentre è assonnato, questa va direttamente in produzione (perche è produzione anche se Open Source) e diventa la base per l'e-commerce mondiale, per poi accorgersi tre anni dopo che c'era un baco ? Funziona così l'informatica ?
    non+autenticato
  • giusto, ma questo comportamento è figlio del magna-magna degli anni '70 e '80, quando il codice era o public domain o sotto licenze assai permissive

    le aziende si sono così abituate a copia-incollare codice, fregandosene bellamente di performance, sicurezza, stabilità ( tanto loro vogliono fare soldi mica buon software )

    Stallman è stato un genio perchè ha capito che doveva costringerli a collaborare, tramite una licenza fatta ad hoc
    non+autenticato
  • D'accordo al 100%.

    Senza le licenze Apache, BSD e simile, forse l'evoluzione del software non sarebbe stata così rapida, ma certamente aziende come Google, Microsoft o Apple stessa avrebbero dovuto restituire alla comunità almeno quanto hanno portato via.
    non+autenticato
  • - Scritto da: Quelo

    > rapida, ma certamente aziende come Google,
    > Microsoft o Apple stessa avrebbero dovuto

    alcune non sarebbero nemmeno nate

    pensa che il solo kernel Linux è stimato sui 10 miliardi di dollari, un costo che nessuna startup potrebbe permettersi

    senza contare i blocchi rappresentati dai brevetti, tanto che Ballmer in persona affermò che se il sistema brevetti attuali fosse stato in vigore 30 anni fa, allora ms sarebbe stata stroncata sul nascere
    non+autenticato
  • Nel 2013 Coverity ha preso in esame 750 milioni di linee di codice appartenenti a programmi open e closed “anonimi”, evidenziando come la densità di bachi nel software open fosse di .59 difetti per 1.000 linee di codice (C/C++) contro i .72 difetti del software a codice chiuso.

    http://www.coverity.com/press-releases/annual-cove.../
    non+autenticato
  • Tra tanti che contribuiranno non ne vedo una in particolare,chissà perchèA bocca aperta
    non+autenticato
  • Ciao a tutti,
    Non vi sembra che l'open source ha qualcosa che non va?
    Cioe' donazioni per 2.000$ all'anno per una componente che viene utilizzata da mezzo mondo?
    In pratica, bella la filosofia dell'open, peccato che pocchissimi vanno a vedere realmente il codice sorgente. E come si e' dimostrato anche in questo caso, e' un azienda che ha trovato il bug.
    Io credo che questo allantanera' un po' le aziende dall'open source.
    non+autenticato
  • - Scritto da: Gino
    > Ciao a tutti,
    > Non vi sembra che l'open source ha qualcosa che
    > non
    > va?

    tipo aziende super ricche che non mettono neanche 1$ di contributo ma attingono a piene mani ?

    > Cioe' donazioni per 2.000$ all'anno per una
    > componente che viene utilizzata da mezzo
    > mondo?

    come sopra...

    > In pratica, bella la filosofia dell'open, peccato
    > che pocchissimi vanno a vedere realmente il
    > codice sorgente.

    chi vede il codice è uno del mestiere,non il primo che passa per strada.

    > E come si e' dimostrato anche in
    > questo caso, e' un azienda che ha trovato il
    > bug.

    un azienda di che tipo ?Sorride

    > Io credo che questo allantanera' un po' le
    > aziende dall'open
    > source.

    Credo che si debba incominciare a farsi pagare dalle aziende con contibuti commisurati al loro fatturato,almeno per la parte sicurezza.
    non+autenticato
  • - Scritto da: Gino
    > Ciao a tutti,
    > Non vi sembra che l'open source ha qualcosa che
    > non
    > va?
    > Cioe' donazioni per 2.000$ all'anno per una
    > componente che viene utilizzata da mezzo
    > mondo?
    > In pratica, bella la filosofia dell'open, peccato
    > che pocchissimi vanno a vedere realmente il
    > codice sorgente. E come si e' dimostrato anche in
    > questo caso, e' un azienda che ha trovato il
    > bug.
    > Io credo che questo allantanera' un po' le
    > aziende dall'open
    > source.

    e' un bene che aziende che hanno una visione non piu' lunga del loro naso si allontanino dall'open source.

    La visione giusta e': "ok ragazzi, questo software open source e' ul cardine del nostro business: tutto bello ma meglio accertarci di cosa usiamo: noi non ce ne intendiam di software, pagniamo qualcuno (oppure supportiamo gli autori iniziali ocn contibuti economici volti alla manutenzione del soft) che gli dia una occhiata, se ha dei bachi, pagheremo per la loro sistemanzione, sara' sempre meglio che rifare tutto da zero per conto nostro."

    La visione sbagliata: "ok ragazzi, questo software open source e' il cardine del nostro business: non ne sappiamo un cazzo ma chi se ne frega, e' gratis."

    La visione tremendamente sbagliata: "ok ragazzi, questo software open source e' il cardine del nostro business: non ne sappiamo un cazzo, quindi affidiamoci ad una soluziuone costosa, closed e che ci rendera' schiavi del nostro fornotore, da oggi meglio noto come 'nostro unico signore e padrone'"
    non+autenticato
  • Riguardo la Soluzione 3
    non va sottovalutato il fatto che se un software viene "bucato" per bug della componente software "chiusa", ci si può rivalere in sede legale con qualcuno. Quindi si hanno più garanzie anche nell'utilizzo.
    non+autenticato
  • Leggiti BENE la licenza eula... il produttore dice che non si assume nessuna responsabilità, di solito.
    non+autenticato
  • - Scritto da: cicciobello
    > Leggiti BENE la licenza eula... il produttore
    > dice che non si assume nessuna responsabilità, di
    > solito.

    Di solito?
    Forse conosci qualche caso in cui se l'e' mai assunta?
  • - Scritto da: Gino
    > Ciao a tutti,
    > Non vi sembra che l'open source ha qualcosa che
    > non
    > va?

    No, non ci sembra.
    O meglio, ora che mi ci fai pensare qualcosa c'e'.
    L'open source provoca una irritazione che produce fud sui forum, e questo talvolta e' fastidioso.

    > Cioe' donazioni per 2.000$ all'anno per una
    > componente che viene utilizzata da mezzo
    > mondo?

    All'anno? Dove hai letto all'anno.
    2000$ chiavi in mano!

    > In pratica, bella la filosofia dell'open, peccato
    > che pocchissimi vanno a vedere realmente il
    > codice sorgente.

    Per fortuna! Leggere i sorgenti e' compito solo per chi e' in grado.
    Meglio lasciarlo fare a chi ne sa.
    D'altro canto quelli che leggono i sorgenti del codice closed sono zero.

    > E come si e' dimostrato anche in
    > questo caso, e' un azienda che ha trovato il
    > bug.

    No, e' stato un programmatore. Le aziende non sanno leggere.

    > Io credo che questo allantanera' un po' le
    > aziende dall'open
    > source.

    I fatti ti smentiscono.
    Tutte le funzioni di elevata criticita (gestioni di server, crittografia, sicurezza, ...) adottano moduli open source.
  • il tuo ragionamento è sbagliato per vari motivi:

    1. è OpenSSL quello senza fondi e senza sviluppatori, altri progetti open ( Apache, Mozilla ) ricevono centinaia di milioni di dollari l'anno

    2. vedere il codice...idem come al punto 1, è un problema di OpenSSL, altri progetti godono di auditing mirati ( la famosa Coverity questo fa )

    3. l'azienda che ha trovato il bug ( Google ) l'ha fatto nell'ambito del suo lavoro sull'opensource ( ricordi quei dati che mostravano che l'opensource è scritto in grossa parte da ingegneri che lavorano per varie aziende IT? )

    4. le aziende usano l'opensource da 40 anni ( ms, apple hanno costruito le loro fortune rubacchiando codice public domain e bsd )
    non+autenticato
  • - Scritto da: collione
    > il tuo ragionamento è sbagliato per vari motivi:
    >
    > 1. è OpenSSL quello senza fondi e senza
    > sviluppatori, altri progetti open ( Apache,
    > Mozilla ) ricevono centinaia di milioni di
    > dollari l'anno

    indice di assoluta miopia: pagano per irrobustire la porta ma la serratura era aprobile con la chiavina delle simmentall.


    > 2. vedere il codice...idem come al punto 1, è un
    > problema di OpenSSL, altri progetti godono di
    > auditing mirati ( la famosa Coverity questo fa
    > )

    idem alla risposta 1.

    > 3. l'azienda che ha trovato il bug ( Google )
    > l'ha fatto nell'ambito del suo lavoro
    > sull'opensource ( ricordi quei dati che
    > mostravano che l'opensource è scritto in grossa
    > parte da ingegneri che lavorano per varie aziende
    > IT?
    > )

    ok

    > 4. le aziende usano l'opensource da 40 anni ( ms,
    > apple hanno costruito le loro fortune
    > rubacchiando codice public domain e bsd
    > )

    non hano rubacchiato niente, se hanno rispettato la policy, allora e' legalmente tutto a posto. Che poi questo "prelevare a piene mani" senza dare nulla in cambio sia moralmente reprensibile, non e' un prblema, visto che le societa' non hanno, per definizione, ne' anima ne' morale.
    non+autenticato
  • Dipende dal tipo di business

    Ad esempio Verisign: fai soldi come autorità di certificazione? Ma cribbio ma sostenere la tecnologia alla base della tua stessa esistenza sul mercato no eh?

    Quando l'idiozia arriva a questi livelli allora è MORALE eccome
    non+autenticato
  • - Scritto da: ...

    > indice di assoluta miopia: pagano per irrobustire
    > la porta ma la serratura era aprobile con la
    > chiavina delle
    > simmentall.

    è perchè possono

    poi si passano ore sui forum a discutere su gpl e bsd

    ma basta andare indietro di qualche decennio e si noterà che il software bsd è stato ampiamente depredato e mai supportato dagli stessi predoni

    eh si, so che rispettano le relative licenze, ma comunque rimane un bel pò di amaro in bocca, pensando ai miliardi che questa gente fa usando software scritto da altri, senza nemmeno curarsi di metterlo in sicurezza!!

    > non e' un prblema, visto che le societa' non
    > hanno, per definizione, ne' anima ne'
    > morale.

    il che la dice lunga sul cancro che infetta la nostra società
    non+autenticato