Claudio Tamburrino

Heartbleed nel cuore degli ospedali

Anche l'attacco ai danni dei dati di 4,5 milioni di pazienti statunitensi sarebbe passato dalla vulnerabilitÓ OpenSSL. E questo non fa altro che peggiorare le cose

Roma - L'attacco informatico ai danni del Community Health Systems che nei giorni scorsi è stato reso noto e che ha coinvolto i dati relativi a circa 4,5 milioni di pazienti sembra aver sfruttato il famigerato bug Heartbleed. Il gruppo che gestisce negli Stati Uniti 206 ospedali in 29 stati aveva riferito di aver subito il furto di nomi, indirizzi e numeri di previdenza sociale dei suoi pazienti e aveva subito puntato il dito contro mandanti cinesi. Le ulteriori indagini sembrano aprire ad uno scenario ancora più vasto, perché metterebbero in mano del gruppo responsabile dell'offensiva lo strumento per decifrare i dati ottenuti.

Secondo l'azienda che si occupa di sicurezza informatica TrustedSec, gli attaccanti presunti cinesi avrebbero sfruttato la nota vulnerabilità Heartbleed: unica fonte, tuttavia, sono al momento tre insider anonimi.

Il bug riguarda la libreria Open SSL ed ha già messo nei guai mezzo mondo, facendo divampare le polemiche per il mancato supporto allo sviluppo di una componente di sicurezza essenziale per la parte di Internet più frequentata dagli utenti.
Se tale informazione fosse confermata, il problema del sistema ospedaliero e dei suoi pazienti sarebbe più grave perché tramite la vulnerabilità Heartbleed gli hacker possono rubare le chiavi segrete che gli permettono di ottenere in chiaro nomi, password ed altri dati digitali del sistema attaccato.

Claudio Tamburrino
Notizie collegate
  • AttualitàIl nucleare USA di nuovo bucatoNuovi indizi di attacchi informatici all'agenzia nucleare a stelle e strisce. Le tracce fanno sospettare il coinvolgimento di servizi stranieri. Gli stessi giÓ accusati di aver violato anche il sistema sanitario
  • SicurezzaHeartbleed, la saga continuaA un mese dalla divulgazione della vulnerabilitÓ di OpenSSL i numeri sono solo in parte confortanti. La metÓ dei siti colpiti non ha sanato il bug. E qualcuno potrebbe essere caduto nel tranello di una patch prematura
  • SicurezzaHeartbleed, arresti e patchIn Canada si arrestano i primi responsabili di aver abusato dell'oramai famigerato baco in OpenSSL, mentre il resto del mondo scopre nuovi software vulnerabili e corre contro il tempo per patcharli
36 Commenti alla Notizia Heartbleed nel cuore degli ospedali
Ordina
  • Chi è il primo?
    Nessuno?
    maxsix
    8907
  • - Scritto da: maxsix
    > Chi è il primo?
    > Nessuno?

    - [...]said Charles Carmakal, managing director with FireEye Inc's (FEYE.O) Mandiant forensics unit, which led the investigation of the attack on Community Health in April and June.
    http://www.reuters.com/article/2014/08/18/us-commu...

    Il primo fix risale al 7 aprile, e questi qui parlano di attacchi condotti in aprile e giugno ?
  • - Scritto da: Albedo 0,9
    > - Scritto da: maxsix
    > > Chi è il primo?
    > > Nessuno?
    >
    > - [...]said Charles Carmakal, managing director
    > with FireEye Inc's (FEYE.O) Mandiant forensics
    > unit, which led the investigation of the attack
    > on Community Health in April and
    > June.
    > http://www.reuters.com/article/2014/08/18/us-commu
    >
    > Il primo fix risale al 7 aprile, e questi qui
    > parlano di attacchi condotti in aprile
    > e giugno

    > ?

    Quoto.
    Oramai la colpa è di chi dopo mesi non ha ancora aggiornato.

    Maxsix pensi al suo DROPOUT JEEP piuttosto, che quello non lo patcheranno di certo... è una feature!
    Funz
    12944
  • - Scritto da: Funz
    > - Scritto da: Albedo 0,9
    > > - Scritto da: maxsix
    > > > Chi è il primo?
    > > > Nessuno?
    > >
    > > - [...]said Charles Carmakal, managing
    > director
    > > with FireEye Inc's (FEYE.O) Mandiant
    > forensics
    > > unit, which led the investigation of the
    > attack
    > > on Community Health in April and
    > > June.
    > >
    > http://www.reuters.com/article/2014/08/18/us-commu
    > >
    > > Il primo fix risale al 7 aprile, e questi qui
    > > parlano di attacchi condotti in aprile
    >
    > > e giugno

    > > ?
    >
    > Quoto.
    > Oramai la colpa è di chi dopo mesi non ha ancora
    > aggiornato.
    >

    Non tutto è aggiornabile.

    Detto questo eravate voi cantinari beoti che sostenevate che Heartbleed fosse quasi una tech demo e che non c'erano prove di danni apparenti.

    Io vi ho sempre risposto, che data la portata e la diffusione del problema, i danni sarebbero stati nascosti il più possibile per evitare problemi ulteriori.

    Ed ecco qua dopo 3 mesi che salta fuori il primo esempio.
    4,5 milioni di cartelle sanitarie e credenziali sottratte.

    Una Milano?
    Ci dovremmo essere come cifra.

    Il prossimo?
    Chissà.

    > Maxsix pensi al suo DROPOUT JEEP piuttosto, che
    > quello non lo patcheranno di certo... è una
    > feature!

    Pensa che con il cesso verde che hai in tasca non serve nemmeno quello.
    maxsix
    8907
  • - Scritto da: maxsix
    > Detto questo eravate voi cantinari beoti che
    > sostenevate che Heartbleed fosse quasi una tech
    > demo e che non c'erano prove di danni
    > apparenti.

    I danni ci sono sempre quando vi è in ballo chi se ne frega. Perché in gran parte sembra proprio questo il caso.


    > Ed ecco qua dopo 3 mesi che salta fuori il primo
    > esempio.
    > 4,5 milioni di cartelle sanitarie e credenziali
    > sottratte.

    Bravo, hai scoperto l'acqua calda.
  • - Scritto da: Albedo 0,9
    > - Scritto da: maxsix
    > > Detto questo eravate voi cantinari beoti che
    > > sostenevate che Heartbleed fosse quasi una
    > tech
    > > demo e che non c'erano prove di danni
    > > apparenti.
    >
    > I danni ci sono sempre quando vi è in ballo chi
    > se ne frega. Perché in gran parte sembra proprio
    > questo il
    > caso.
    >
    Eh, purtroppo io temo che oltre al menefreghismo ci sia una quota importante di NON aggiornabilità.

    >
    > > Ed ecco qua dopo 3 mesi che salta fuori il
    > primo
    > > esempio.
    > > 4,5 milioni di cartelle sanitarie e
    > credenziali
    > > sottratte.
    >
    > Bravo, hai scoperto l'acqua calda.

    Mettiamo invece che io ho scoperto i tuoi dati sanitari.
    E mettiamo che ho trovato qualche cazzabubbola tua e di altri che passata sottobanco alla tua assicurazione per la vita fa si che dal mese prossimo ti venga raddoppiata la rata perché "mi stai antipatico", altrimenti ti do oggi quello che ti devo e ci salutiamo.

    Poi mettiamo pure che questi tuoi dati sono in possesso sottobanco a tutte le assicurazioni e che nessuna vuole più avere niente a che fare con te.

    E mettiamo che questi dati sono nascosti nel gestionale delle assicurazioni che all'immissione dei tuoi dati anagrafici si accende un piccolissimo quadrato sotto la terza lettera del cognome che avvisa il commesso che hai davanti che sei un tipo a rischio.

    Guarda.

    Se non avessi una fervida immaginazione sarebbe quasi vero.

    Quasi però.
    maxsix
    8907
  • - Scritto da: maxsix
    > - Scritto da: Albedo 0,9
    > > - Scritto da: maxsix
    > > > Detto questo eravate voi cantinari
    > beoti
    > che
    > > > sostenevate che Heartbleed fosse quasi
    > una
    > > tech
    > > > demo e che non c'erano prove di danni
    > > > apparenti.
    > >
    > > I danni ci sono sempre quando vi è in ballo
    > chi
    > > se ne frega. Perché in gran parte sembra
    > proprio
    > > questo il
    > > caso.
    > >
    > Eh, purtroppo io temo che oltre al menefreghismo
    > ci sia una quota importante di NON
    > aggiornabilità.
    >
    > >
    > > > Ed ecco qua dopo 3 mesi che salta fuori
    > il
    > > primo
    > > > esempio.
    > > > 4,5 milioni di cartelle sanitarie e
    > > credenziali
    > > > sottratte.
    > >
    > > Bravo, hai scoperto l'acqua calda.
    >
    > Mettiamo invece che io ho scoperto i tuoi dati
    > sanitari.
    > E mettiamo che ho trovato qualche cazzabubbola
    > tua e di altri che passata sottobanco alla tua
    > assicurazione per la vita fa si che dal mese
    > prossimo ti venga raddoppiata la rata perché "mi
    > stai antipatico", altrimenti ti do oggi quello
    > che ti devo e ci
    > salutiamo.
    >
    > Poi mettiamo pure che questi tuoi dati sono in
    > possesso sottobanco a tutte le assicurazioni e
    > che nessuna vuole più avere niente a che fare con
    > te.
    >
    > E mettiamo che questi dati sono nascosti nel
    > gestionale delle assicurazioni che all'immissione
    > dei tuoi dati anagrafici si accende un
    > piccolissimo quadrato sotto la terza lettera del
    > cognome che avvisa il commesso che hai davanti
    > che sei un tipo a
    > rischio.
    >
    > Guarda.
    >
    > Se non avessi una fervida immaginazione sarebbe
    > quasi
    > vero.
    >
    > Quasi però.

    Ripeto: bravo, hai scoperto l'acqua calda.
    La prossima volta che vai all'ospedale a consegnare i tuoi dati, ricordati di quante aziende con scalzacani se ne prenderanno carico.
    Era prevedibile? Sì.
    Si tratta di un problema esclusivamente legato alla piattaforma in uso? Generalmente no.
  • - Scritto da: Albedo 0,9
    > - Scritto da: maxsix
    > > - Scritto da: Albedo 0,9
    > > > - Scritto da: maxsix
    > > > > Detto questo eravate voi cantinari
    > > beoti
    > > che
    > > > > sostenevate che Heartbleed fosse
    > quasi
    > > una
    > > > tech
    > > > > demo e che non c'erano prove di
    > danni
    > > > > apparenti.
    > > >
    > > > I danni ci sono sempre quando vi è in
    > ballo
    > > chi
    > > > se ne frega. Perché in gran parte sembra
    > > proprio
    > > > questo il
    > > > caso.
    > > >
    > > Eh, purtroppo io temo che oltre al
    > menefreghismo
    > > ci sia una quota importante di NON
    > > aggiornabilità.
    > >
    > > >
    > > > > Ed ecco qua dopo 3 mesi che salta
    > fuori
    > > il
    > > > primo
    > > > > esempio.
    > > > > 4,5 milioni di cartelle sanitarie e
    > > > credenziali
    > > > > sottratte.
    > > >
    > > > Bravo, hai scoperto l'acqua calda.
    > >
    > > Mettiamo invece che io ho scoperto i tuoi
    > dati
    > > sanitari.
    > > E mettiamo che ho trovato qualche
    > cazzabubbola
    > > tua e di altri che passata sottobanco alla
    > tua
    > > assicurazione per la vita fa si che dal mese
    > > prossimo ti venga raddoppiata la rata perché
    > "mi
    > > stai antipatico", altrimenti ti do oggi
    > quello
    > > che ti devo e ci
    > > salutiamo.
    > >
    > > Poi mettiamo pure che questi tuoi dati sono
    > in
    > > possesso sottobanco a tutte le assicurazioni
    > e
    > > che nessuna vuole più avere niente a che
    > fare
    > con
    > > te.
    > >
    > > E mettiamo che questi dati sono nascosti nel
    > > gestionale delle assicurazioni che
    > all'immissione
    > > dei tuoi dati anagrafici si accende un
    > > piccolissimo quadrato sotto la terza lettera
    > del
    > > cognome che avvisa il commesso che hai
    > davanti
    > > che sei un tipo a
    > > rischio.
    > >
    > > Guarda.
    > >
    > > Se non avessi una fervida immaginazione
    > sarebbe
    > > quasi
    > > vero.
    > >
    > > Quasi però.
    >
    > Ripeto: bravo, hai scoperto l'acqua calda.
    > La prossima volta che vai all'ospedale a
    > consegnare i tuoi dati, ricordati di quante
    > aziende con scalzacani se ne prenderanno
    > carico.

    Tutti dipendenti e tutti tracciabili.
    Questo è un modo per fare i propri porci comodi e non lasciare (quasi) tracce.

    > Era prevedibile? Sì.

    Certo, ma qua c'era gente che negava a spada tratta.

    > Si tratta di un problema esclusivamente legato
    > alla piattaforma in uso? Generalmente
    > no.

    Invece si, visto che l'amico è stato li per 14 anni e NESSUNO si è preso la briga di alzare il ditino.
    E non sono io quello che dice open è meglio perché è controllato dall'unimente cantinara.

    A zappare.
    Di corsa.
    maxsix
    8907
  • - Scritto da: maxsix
    > > Era prevedibile? Sì.
    >
    > Certo, ma qua c'era gente che negava a spada
    > tratta.

    Ma non faccio parte di quel fanatismo (e lo sai), quindi evita di proiettare delle inutilità su di me.


    > > Si tratta di un problema esclusivamente
    > legato
    > > alla piattaforma in uso? Generalmente
    > > no.
    >
    > Invece si, visto che l'amico è stato li per 14
    > anni e NESSUNO si è preso la briga di alzare il
    > ditino.
    > E non sono io quello che dice open è meglio
    > perché è controllato dall'unimente
    > cantinara.

    Come ce ne sono stai altri, di bug e backdoor in altri sistemi, che hanno lavorato per anni.

    Se mi produci un device di rete, scegliendo una libreria opensource quindi soggetta a (molte) modifiche nel tempo, ma contestualmente ne neghi l'aggiornabilità firmware e/o non ti preoccupi di un deploy di update in base alle reali esigenze d'uso (e di installazione) di quel dispositivo... scusa ma a zappare ci devi andare tu.
    Idem per chi mantiene i server, naturalmente.
  • - Scritto da: Albedo 0,9
    > - Scritto da: maxsix
    > > > Era prevedibile? Sì.
    > >
    > > Certo, ma qua c'era gente che negava a spada
    > > tratta.
    >
    > Ma non faccio parte di quel fanatismo (e lo sai),
    > quindi evita di proiettare delle inutilità su di
    > me.
    >

    Uuuuu su dai ora, mica inizierai con la solfa del "loro sono loro e io sono io".
    Non ti si addice.

    >
    > > > Si tratta di un problema esclusivamente
    > > legato
    > > > alla piattaforma in uso? Generalmente
    > > > no.
    > >
    > > Invece si, visto che l'amico è stato li per
    > 14
    > > anni e NESSUNO si è preso la briga di alzare
    > il
    > > ditino.
    > > E non sono io quello che dice open è meglio
    > > perché è controllato dall'unimente
    > > cantinara.
    >
    > Come ce ne sono stai altri, di bug e backdoor in
    > altri sistemi, che hanno lavorato per anni.
    >

    Certamente ma, fino a vedere qualcosa di peggio, questo heartbleed è stato da tutti riconosciuto come una catastrofe immane di cui però si aspettava di vederne gli effetti.

    E puntualmente eccoci qua.

    Si eh, scusa, ma stiamo parlando di un bug che un ragazzino brufoloso ha messo su una pagina web con qualche script brufoloso che sgamava tutto e tutti.

    Scusa ma, mi viene da ridere (o piangere) forte.

    >
    > Se mi produci un device di rete, scegliendo una
    > libreria opensource quindi soggetta a (molte)
    > modifiche nel tempo,

    Che non è vero in quanto gli aggiornamenti erano rarissimi, proprio perché ritenuta stabile e "solid as a rock".


    > ma contestualmente ne neghi
    > l'aggiornabilità firmware e/o non ti preoccupi di
    > un deploy di update in base alle reali esigenze
    > d'uso (e di installazione) di quel dispositivo...
    > scusa ma a zappare ci devi andare
    > tu.

    E hai centrato il punto.

    E' giusto usare su periferiche embeeded software opensource senza nessun tipo di certificazione o audit come si deve?

    No.

    Punto.

    > Idem per chi mantiene i server, naturalmente.

    Per aggiornare un server non ci vuole niente, ma non dare per scontato che le installazioni li fuori si sistemino con un apt-get update openssl

    Ho visto con i miei occhi server linux talmente personalizzati che piuttosto che aggiornare una cosa del genere stai prima a spegnerlo e farne uno nuovo.

    Ma poi?
    Chi paga?
    maxsix
    8907
  • - Scritto da: maxsix
    > > > Invece si, visto che l'amico è stato li
    > per
    > > 14
    > > > anni e NESSUNO si è preso la briga di
    > alzare
    > > il
    > > > ditino.
    > > > E non sono io quello che dice open è
    > meglio
    > > > perché è controllato dall'unimente
    > > > cantinara.
    > >
    > > Come ce ne sono stai altri, di bug e
    > backdoor
    > in
    > > altri sistemi, che hanno lavorato per anni.
    > >
    >
    > Certamente ma, fino a vedere qualcosa di peggio,
    > questo heartbleed è stato da tutti riconosciuto
    > come una catastrofe immane di cui però si
    > aspettava di vederne gli
    > effetti.
    >
    > E puntualmente eccoci qua.
    >
    > Si eh, scusa, ma stiamo parlando di un bug che un
    > ragazzino brufoloso ha messo su una pagina web
    > con qualche script brufoloso che sgamava tutto e
    > tutti.
    >
    > Scusa ma, mi viene da ridere (o piangere) forte.

    Sai invece cosa fa ridere (o piangere) forte a me?
    Constatare che un'immenso mare di aziende lavorano seguendo "tizio mi ha detto questo, caio mi ha assicurato su quest'altro".

    E infatti...

    > > Se mi produci un device di rete, scegliendo
    > una
    > > libreria opensource quindi soggetta a (molte)
    > > modifiche nel tempo,
    >
    > Che non è vero in quanto gli aggiornamenti erano
    > rarissimi, proprio perché ritenuta stabile e
    > "solid as a
    > rock".

    ...vorrei tanto capire secondo la tua personale esperienza professionale, quando mai ti è capitato di notare un software opensource "solid as a rock". Ovvero un qualcosa, nella storia opensource, che non ha mai avuto bisogno di update critici.
    Stiamo parlando di software, ciccio. Di una roba che per sua natura è più mutevole dell'aria che circola.

    Qua non è questione di marketing, eh, ma di avere il buon senso di capire che buona fetta delle aziende ci marciano sul "tanto l'opensource è gratis".
    Succhiare continuamente senza ritornare nulla, per poi lamentarsi che ci sono bug, non è un bel comportamento etico.
    Lo vedi poi cosa accade? Come percezione immaginaria non è mai colpa del router XY, ma di Linux/Opensource che è bacato.

    Quanti ci marciano?
    TANTI.
    TROPPI.


    > > ma contestualmente ne neghi
    > > l'aggiornabilità firmware e/o non ti
    > preoccupi
    > di
    > > un deploy di update in base alle reali
    > esigenze
    > > d'uso (e di installazione) di quel
    > dispositivo...
    > > scusa ma a zappare ci devi andare
    > > tu.
    >
    > E hai centrato il punto.
    >
    > E' giusto usare su periferiche embeeded software
    > opensource senza nessun tipo di certificazione o
    > audit come si
    > deve?
    >
    > No.
    > Punto.

    Esatto.
    Se lo fai, te ne assumi tutte le responsabilità, tu produttore dell'assemblato.
    Preciso preciso all'obbligo di rilasciare conformità CE, stesso principio.


    >
    > > Idem per chi mantiene i server, naturalmente.
    > Per aggiornare un server non ci vuole niente, ma
    > non dare per scontato che le installazioni li
    > fuori si sistemino con un apt-get update
    > openssl

    Certo. Come è vero che se mi piazzi un server sopra un palo di venti metri, devi assicurare (tu, non il programmatore di OpenSSL) che poi vi sarà qualche sistema efficiente di aggiornamento postumo.
  • Linux fa cagare [cit.]. Dopo Heartbleed anche di più.

    Cantinari a morte.[cit.]. Bug ovunque dal 1999, dannati cialtroni [cit.]

    L'opensource ha creato milioni di morti in medio oriente [cit.], ha fatto aumentare il costo delle transazioni bancarie [cit.] e del mio posto auto [cit.]

    Android cantinaro ha rubato i miei dati [cit.], ora dovete ripararli, maledetti puzzapiedi stallmaniani al soldo di adwords [cit.]
    ===================================================================

    Peeew... direi che ci ho messo tutto l'armamentario culturale di maxsix, no? sono stato bravo? Era per risparmiare tempo e bytes... metter tutto in un unico postSorride
    non+autenticato
  • - Scritto da: maxsix
    > Linux fa cagare [cit.]. Dopo Heartbleed anche di
    > più.
    >

    Questa l'ho scritta io, è originale.

    > Cantinari a morte.[cit.]. Bug ovunque dal 1999,
    > dannati cialtroni
    > [cit.]
    >

    Te la sei inventata tu, caro mio alter ego, ma ha un suo fondo di verità.

    > L'opensource ha creato milioni di morti in medio
    > oriente [cit.], ha fatto aumentare il costo delle
    > transazioni bancarie [cit.] e del mio posto auto
    > [cit.]
    >

    Qui l'hai fatta fuori dal boccale.

    > Android cantinaro ha rubato i miei dati [cit.],
    > ora dovete ripararli, maledetti puzzapiedi
    > stallmaniani al soldo di adwords
    > [cit.]

    Mmmmm, interessante questa su adwords, ne farò tesoro.

    > Peeew... direi che ci ho messo tutto
    > l'armamentario culturale di maxsix, no? sono
    > stato bravo? Era per risparmiare tempo e bytes...
    > metter tutto in un unico post
    >Sorride

    E' sempre bello essere nei vostri pensieri.
    Mi chiedo se vengo subito prima o subito dopo di quella cosa che finisce per "no".
    maxsix
    8907