Alfonso Maruccia

Google, il fork di OpenSSL è Boring

Gli ingegneri di Mountain View lavorano a una loro variante della cruciale libreria crittografica presa di mira in questi mesi, un fork destinato a sostituire OpenSSL, ma solo per quanto riguarda le esigenze specifiche di Google

Roma - Google è al lavoro su un fork di OpenSSL, la libreria crittografica salita in questi mesi alla ribalta per via del "catastrofico" bug noto come Heartbleed. Un lavoro derivativo che si è reso necessario non solo per questioni di sicurezza ma anche per la difficoltà di gestire la versione personalizzata di OpenSSL usata internamente da Mountain View.

Ad annunciare l'avvio dello sviluppo di BoringSSL (nome probabilmente temporaneo) è il programmatore di Google Adam Langley sul suo blog personale: fino a questo momento la corporation ha adottato il codice di OpenSSL includendovi 70 diverse patch su svariate basi di codice sorgente, spiega Langley, una situazione divenuta ingestibile e che ha spinto l'azienda a cambiare il modello sin qui seguito.

BoringSSL dovrebbe fare "presto" la sua comparsa nei sorgenti di Chromium/Chrome, spiega l'ingegnere, e non è pensato per sostituire del tutto OpenSSL, visto che Google continuerà a contribuire a quest'ultimo progetto con codice sorgente e non solo.
Più che costituire un'alternativa "general purpose" a OpenSSL come è invece LibreSSL, quindi, BoringSSL dovrebbe essere una variante della cruciale libreria per le comunicazioni telematiche sicure costruita a partire delle esigenze specifiche dell'ecosistema di Google.

Sempre parlando di OpenSSL ed Heartbleed, infine, a due mesi dalla pubblicazione dei dettagli sul bug la situazione è preoccupante: circa la metà dei 600mila server vulnerabili scoperti in principio continua a funzionare con la versione fallata della libreria, e gli esperti temono che di Heartbleed si continuerà a sentir parlare per lungo tempo.

Alfonso Maruccia
Notizie collegate
  • AttualitàHeartbleed: fork, aggiornamenti e attacchiIl bug che ha messo in pericolo mezza Internet spinge verso la creazione di un'alternativa. Ne frattempo le patch continuano ad accumularsi, mentre si registrano i primi attacchi
  • SicurezzaHeartbleed, la saga continuaA un mese dalla divulgazione della vulnerabilità di OpenSSL i numeri sono solo in parte confortanti. La metà dei siti colpiti non ha sanato il bug. E qualcuno potrebbe essere caduto nel tranello di una patch prematura
31 Commenti alla Notizia Google, il fork di OpenSSL è Boring
Ordina
  • Il cantinaro non aggiorna?

    Il nostro uberissimo PR aveva aggiornato ancora prima che uscisse la notizia....

    Hmmmmm
    maxsix
    9374
  • Magari per pura fortuna non aveva quella versione?
    Rotola dal ridereRotola dal ridere
    Io ad esempio non la ho mai avuta.
    Ho avuto le precedenti e poi sono passato direttamente a quella (sempre OpenSSL) certificata FIPS 140-2 che non ha quel bug....
    Succede!
    Ma tu ovvamente sei un espertone di certificazioni FIPS 140-2 vero?
    Più o meno come delle "pompate degli investitori istituzionali sulle bisiness iunit invece che sul listino" ma anche di "armadi rack con le dorsali"....
    P.S.
    Facci sapere quando le vendite di apparecchi con il fantastico "Tinzen" (che poi hai tardivamente scoperto chiamarsi "Tizen") surclasseranno quel cesso di Android...
    Apettiamo ansiosi.. la prossima supercazzola...
    Rotola dal ridereRotola dal ridere
    A bocca aperta
    non+autenticato
  • - Scritto da: tucumcari
    > Magari per pura fortuna non aveva quella versione?
    > Rotola dal ridereRotola dal ridere

    Posso darti dal mona?
    Si.
    Ti spiego.

    I cantinari che non stanno aggiornando sono quelli che hanno server testati con il bug.
    Sai quel test simpatico uscito a suo tempo.....

    Ecco.

    > Io ad esempio non la ho mai avuta.

    Appunto. Si e no hai una calcolatrice.

    > Ho avuto le precedenti e poi sono passato
    > direttamente a quella (sempre OpenSSL)
    > certificata FIPS 140-2 che non ha quel
    > bug....
    > Succede!
    > Ma tu ovvamente sei un espertone di
    > certificazioni FIPS 140-2
    > vero?

    Io so solo la figuraccia che hai appena fatto boring-tucucumcari.

    > Più o meno come delle "pompate degli investitori
    > istituzionali sulle bisiness iunit invece che sul
    > listino" ma anche di "armadi rack con le
    > dorsali"....
    > P.S.
    > Facci sapere quando le vendite di apparecchi con
    > il fantastico "Tinzen" (che poi hai tardivamente
    > scoperto chiamarsi "Tizen") surclasseranno quel
    > cesso di
    > Android...

    Sempre chiamato Tizen, la sbroccata sopra a seguito di figuraccia è stupenda.
    Me la stampo e me la metto in un quadretto.


    > Apettiamo ansiosi.. la prossima supercazzola...
    > Rotola dal ridereRotola dal ridere
    > A bocca aperta

    Intanto tieni questa.

    http://www.macitynet.it/samsung-avvisa-gli-investi.../
    maxsix
    9374
  • - Scritto da: maxsix
    > Intanto tieni questa.
    >
    > http://www.macitynet.it/samsung-avvisa-gli-investi

    "Ecco, gliel'ho proprio fatta vedere!"
    Shiba
    3826
  • - Scritto da: Shiba
    > - Scritto da: maxsix
    > > Intanto tieni questa.
    > >
    > >
    > http://www.macitynet.it/samsung-avvisa-gli-investi
    >
    > "Ecco, gliel'ho proprio fatta vedere!"

    http://www.electronista.com/articles/14/06/25/anal.../

    Ti senti meglio ora?
    Si?
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: Shiba
    > > - Scritto da: maxsix
    > > > Intanto tieni questa.
    > >
    > http://www.macitynet.it/samsung-avvisa-gli-investi
    > >
    > > "Ecco, gliel'ho proprio fatta vedere!"
    >
    > http://www.electronista.com/articles/14/06/25/anal
    >
    > Ti senti meglio ora?
    > Si?

    Perche' dovrebbe ? Guarda che mica son tutti tifosi, a te cosa ne viene se apple fa figure belle o brutte ? Sublimi il tifo calcistico ?
    non+autenticato
  • - Scritto da: . .
    > - Scritto da: maxsix
    > > - Scritto da: Shiba
    > > > - Scritto da: maxsix
    > > > > Intanto tieni questa.
    > > >
    > >
    > http://www.macitynet.it/samsung-avvisa-gli-investi
    > > >
    > > > "Ecco, gliel'ho proprio fatta vedere!"
    > >
    > >
    > http://www.electronista.com/articles/14/06/25/anal
    > >
    > > Ti senti meglio ora?
    > > Si?
    >
    > Perche' dovrebbe ? Guarda che mica son tutti
    > tifosi, a te cosa ne viene se apple fa figure
    > belle o brutte ? Sublimi il tifo calcistico
    > ?

    No sublimo a prendervi per i cosidetti e scassare un po'.
    E' divertente, invero.
    maxsix
    9374
  • Si è divertente effettivamente vedere l'intero forum dove anche i piccoli possono crescere hanno bisogno di un sacco da palestra su cui farsi le mani e rinforzarsi...
    Sai prima o dopo invece che un troll da 2 centesimi gli capiterà uno vero..
    Serve sempre farsi esperienza su un sacco prima di imparare a picchiare sul serio.
    Occhiolino
    non+autenticato
  • - Scritto da: maxsix
    > http://www.electronista.com/articles/14/06/25/anal
    > > >
    > > > Ti senti meglio ora?
    > > > Si?
    > >
    > > Perche' dovrebbe ? Guarda che mica son tutti
    > > tifosi, a te cosa ne viene se apple fa figure
    > > belle o brutte ? Sublimi il tifo calcistico
    > > ?
    >
    > No sublimo a prendervi per i cosidetti e scassare
    > un
    > po'.
    > E' divertente, invero.

    "Ecco, questo lo farà stare zitto!"
    Se ti dico che sto usando un 3330 mi posti l'andamento Nokia di più di 10 anni fa? Rotola dal ridere
    Shiba
    3826
  • Ma "pompano o non pompano" sulle bisiness iunit?
    Perchè è questo il punto!
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: maxsix

    > Sempre chiamato Tizen, la sbroccata sopra a
    > seguito di figuraccia è
    > stupenda.
    > Me la stampo e me la metto in un quadretto.
    Si stampala e trattieni il respiro fino che Tinzen/Tizen avrà spiazzato quel cesso di android.
    Mica succede nulla non ti preoccupare...
    è un attimo neh?
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • Cough cough cough
    Noioso

    Cough cough cough
    Cantinaro

    Cough cough cough
    openSSL

    A Google non manca il senso dell'ironia.
    maxsix
    9374
  • - Scritto da: maxsix

    > A Google non manca il senso dell'ironia.
    No e neanche a noi...
    Comprati un iFazzolett che a forza di iColpi di iTosse va a finire che sbagli a impugnare l'iPhone!
    Rotola dal ridereRotola dal ridere
    http://www.theguardian.com/technology/2014/feb/25/...
    non+autenticato
  • "ma solo per quanto riguarda le esigenze specifiche di Google"... non era più corretto scrivere "ma solo per quanto riguarda le esigenze specifiche di NSA" ??
  • - Scritto da: sisko212
    > "ma solo per quanto riguarda le esigenze
    > specifiche di Google"... non era più corretto
    > scrivere "ma solo per quanto riguarda le esigenze
    > specifiche di NSA"
    > ??

    Ops
    -----------------------------------------------------------
    Modificato dall' autore il 25 giugno 2014 21.52
    -----------------------------------------------------------
    maxsix
    9374
  • Ma non ne avevate parlato, perché?
    non+autenticato
  • - Scritto da: ...
    > Ma non ne avevate parlato, perché?

    perchè questo non è il fork fatto da openbsd, bensì un altro fork fatto da google
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: ...
    > > Ma non ne avevate parlato, perché?
    >
    > perchè questo non è il fork fatto da openbsd,
    > bensì un altro fork fatto da
    > google

    Allora riformulo la domanda per i mentalmente tarati: perché hanno parlato di questo e non di quello fatto da OpenBSD?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: collione
    > > - Scritto da: ...
    > > > Ma non ne avevate parlato, perché?
    > >
    > > perchè questo non è il fork fatto da openbsd,
    > > bensì un altro fork fatto da
    > > google
    >
    > Allora riformulo la domanda per i mentalmente
    > tarati: perché hanno parlato di questo e non di
    > quello fatto da
    > OpenBSD?
    di LibreSSL ne hanno parlato. C'e' pure un link in questo stesso articoloCon la lingua fuori
    non+autenticato
  • La cosa che mi ha lasciato basito di tutta questa storia dell'openssl e' che non l'abbiano fatto prima. Il paradigma funziona ma la libreria andava controllata meglio. Vabe', che serva da lezione a tutti...... Commento inutile su openssl (con solite risposte su closed/open) di massimino in 3...2...1...
    non+autenticato
  • L'ipotesi sempre più fosca e sempre più probabile, è che NSA abbia consigliato di non indagare...

    Mi spiego meglio...

    NSA si presenta allo sviluppatore OpenSSL con un assegnino in bianco per introdurre un bug.
    Il programmatore introduce il bug che viene sfruttato da NSA.

    Le aziende utilizzano OpenSSL, ed NSA si preoccupa di consigliare e lasciare usare a determinate aziende OpenSSL bucato all'uopo.

    Questo finché sviluppatori o enti indipendenti non hanno trovato il bug.

    Il giochino può funzionare una volta sola però, perché il clamore difficilmente permetterà di rifare il gioco dell'assegnino da presentare a qualche sviluppatore. Ora ci sarebbero troppi controllori su librerie di questa importanza.

    Chi ha librerie closed protprietarie non è stato coinvolto nello scandalo, ma solo finché qualcuno non farà un po' di reverse engineering e non troverà buchi provenienti da backdoor governative espressamente richieste da NSA.

    Perché a Microsoft, Apple ecc. In USA può essere imposto per legge di avere backdoor.
    iRoby
    7615
  • Non so per i post complottistici ma mi sa che per questa volta hai ragione.
  • - Scritto da: iRoby
    > Perché a Microsoft, Apple ecc. In USA può essere
    > imposto per legge di avere backdoor.

    E sempre per legge, non possono nemmeno ammettere di essere obbligati.
  • - Scritto da: iRoby
    > L'ipotesi sempre più fosca e sempre più
    > probabile, è che NSA abbia consigliato di non
    > indagare...
    >
    > Mi spiego meglio...
    >
    > NSA si presenta allo sviluppatore OpenSSL con un
    > assegnino in bianco per introdurre un
    > bug.
    > Il programmatore introduce il bug che viene
    > sfruttato da NSA.

    Sfruttato come?
    Heartbleed non consentiva nessuno sfruttamento deterministico.
    Solo casuale.
  • - Scritto da: Ogekury
    > La cosa che mi ha lasciato basito di tutta questa
    > storia dell'openssl e' che non l'abbiano fatto
    > prima. Il paradigma funziona ma la libreria
    > andava controllata meglio. Vabe', che serva da
    > lezione a tutti...... Commento inutile su openssl
    > (con solite risposte su closed/open) di massimino
    > in
    > 3...2...1...

    E' bello avere sempre ragione.
    maxsix
    9374
  • si non c'è male....
    http://www.theguardian.com/technology/2014/feb/25/...
    Rotola dal ridereRotola dal ridere
    Quattro anni a "scoperti a zro day" per correggere un if...
    Rotola dal ridereRotola dal ridere
    Michia che bravi!
    Occhiolino
    non+autenticato
  • - Scritto da: tucumcari
    > si non c'è male....
    > http://www.theguardian.com/technology/2014/feb/25/
    > Rotola dal ridereRotola dal ridere
    > Quattro anni a "scoperti a zro day" per
    > correggere un
    > if...
    > Rotola dal ridereRotola dal ridere
    > Michia che bravi!
    > Occhiolino

    4 is mieich de 12 (o 15)
    maxsix
    9374
  • No 4 is pegg di 3!
    Rotola dal ridereRotola dal ridere
    Le versioni precedenti non avevano quel bug!
    Peccato e adesso quale supercazzola ci inventiamo?
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: tucumcari
    > No 4 is pegg di 3!
    > Rotola dal ridereRotola dal ridere
    > Le versioni precedenti non avevano quel bug!
    > Peccato e adesso quale supercazzola ci inventiamo?
    > Rotola dal ridereRotola dal ridere

    Ah si vero, mi confondevo con l'altro.
    Oramai i bug di sicurezza che riguardano quel cesso di Linux non si contano più.

    Ciao boring-tucumcari.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: tucumcari
    > > No 4 is pegg di 3!
    > > Rotola dal ridereRotola dal ridere
    > > Le versioni precedenti non avevano quel bug!
    > > Peccato e adesso quale supercazzola ci
    > inventiamo?
    > > Rotola dal ridereRotola dal ridere
    >
    > Ah si vero, mi confondevo con l'altro.
    > Oramai i bug di sicurezza che riguardano quel
    > cesso di Linux non si contano
    > più.
    >
    > Ciao boring-tucumcari.

    Risposta priva di contenuto...
    Hai il paraocchi, quel bug e' del tutto simile al famoso heartbleed, sia in termini di semplicita' (i bug esistono ed esisteranno sempre nonostante le mille review che si possono fare) che di "temporalita'". Ma a te questa cosa non sfiora, l'unica cosa che riesci ad esprimere e' "linux e' un cesso". Complimenti, analisi lucida.
    non+autenticato