Alfonso Maruccia

OpenSSL, bug critico di giornata

I ricercatori identificano l'ennesimo bug critico di OpenSSL, libreria vitale e super-bucata per le comunicazioni sicure su canali HTTP. Il rischio, in questo caso, non č a livello di Heartbleed

Roma - OpenSSL ha un nuovo bug, una vulnerabilità potenzialmente sfruttabile per bypassare la protezione crittografica delle comunicazioni HTTPS. Almeno questa volta, però, il rischio non è così grave e i cyber-criminali non avranno a disposizione una nuova arma di "distruzione di massa telematica" sul genere di Heartbleed e piaghe similari.

Il nuovo baco (CVE-2015-1793) consiste in un controllo errato della legittimità di un certificato di sicurezza SSL/TLS, un mancato check-up che potrebbe portare all'abuso di un certificato autentico per la generazione di uno fasullo: il secondo certificato verrebbe considerato come autentico, e il cyber-criminale in questione potrebbe sfruttarlo per impersonare un qualsiasi sito Web per compromettere le comunicazioni e i dati dell'utente.

La vulnerabilità che si presta ad attacchi di tipo man-in-the-middle è stata scoperta dagli sviluppatori di BoringSSL, implementazione alternativa di OpenSSL con cui gli ingegneri di Google vorrebbero porre fine ai tanti problemi di sicurezza emersi in questi mesi e anni nella libreria crittografica più (ab)usata di Internet.
Fortunatamente per la sicurezza della suddetta Internet, però, la vulnerabilità CVE-2015-1793 è presente all'interno di versioni di OpenSSL usate raramente nei sistemi operativi enterprise e in particolare nelle release 1.0.2c, 1.0.2b, 1.0.1n e 1.0.1o.

Questa volta la superficie di attacco risulta essere ridotta, sul fronte del Web, mentre rischi sussistono per quelle app e quei software sviluppati individualmente e quindi potenzialmente basati su una versione di OpenSSL vulnerabile. In casi del genere la responsabilità dell'aggiornamento è ovviamente tutta dello sviluppatore.

Alfonso Maruccia
Notizie collegate
  • TecnologiaGoogle, il fork di OpenSSL è BoringGli ingegneri di Mountain View lavorano a una loro variante della cruciale libreria crittografica presa di mira in questi mesi, un fork destinato a sostituire OpenSSL, ma solo per quanto riguarda le esigenze specifiche di Google
  • SicurezzaS2n, il nuovo TLS di AmazonIl colosso dell'e-commerce presenta un nuovo progetto software, un implementazione open source del protocollo TLS pensata per ridurre al minimo il codice superfluo e quindi la superficie di attacco per i cybercriminali
18 Commenti alla Notizia OpenSSL, bug critico di giornata
Ordina
  • Intanto sto ancora aspettando che D-Link rilasci l'aggiornamento del Fw per tappare Heartbleed...

    Ma mi sa che aspetto ancora un bel po'...
  • - Scritto da: Epoch
    > Intanto sto ancora aspettando che D-Link rilasci
    > l'aggiornamento del Fw per tappare
    > Heartbleed...
    >
    > Ma mi sa che aspetto ancora un bel po'...


    cambia router e sconsiglia tale marca a chiunque...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Epoch
    > > Intanto sto ancora aspettando che D-Link
    > rilasci
    > > l'aggiornamento del Fw per tappare
    > > Heartbleed...
    > >
    > > Ma mi sa che aspetto ancora un bel po'...
    >
    >
    > cambia router e sconsiglia tale marca a
    > chiunque...

    Che marca consigli ?
    Io vorrei un router senza wireless o che si possa completamente disabilitare.
    non+autenticato
  • - Scritto da: 120938

    > Che marca consigli ?

    Qualunque altro.
    Netgear per esempio ha un atteggiamento migliore nei confronti dei bug: ne ammette l'esistenza e li patcha.

    > Io vorrei un router senza wireless o che si possa
    > completamente
    > disabilitare.

    ci sono router col bottone fisico per la parte wireless, quindi al di là della configurazione (che conviene comunque fare), se pigi il tasto e spegni sei verosimilmente a posto.

    Comunque aspetta 3,2,1... che arriva il tucu a dirti quale router casereccio devi prendere, che l'ha fatto lui controllando anche l'hardware circuito per circuito
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: 120938
    >
    > > Che marca consigli ?
    >
    > Qualunque altro.
    > Netgear per esempio ha un atteggiamento migliore
    > nei confronti dei bug: ne ammette l'esistenza e
    > li
    > patcha.
    >
    > > Io vorrei un router senza wireless o che si
    > possa
    > > completamente
    > > disabilitare.
    >
    > ci sono router col bottone fisico per la parte
    > wireless, quindi al di là della configurazione
    > (che conviene comunque fare), se pigi il tasto e
    > spegni sei verosimilmente a
    > posto.
    se vuoi un cosetto SOHO, io sarei per pescare uno di questi http://wiki.openwrt.org/toh/start (ma se pensi di non usare MAI il wifi, forse meglio andare altrove) ... e con wlctl spegni il wifi... (wlctl o quel che c'e'...Con la lingua fuori )

    > Comunque aspetta 3,2,1... che arriva il tucu a
    > dirti quale router casereccio devi prendere, che
    > l'ha fatto lui controllando anche l'hardware
    > circuito per
    > circuito
    LOL eheh
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: ...
    > > - Scritto da: 120938
    > >
    > > > Che marca consigli ?
    > >
    > > Qualunque altro.
    > > Netgear per esempio ha un atteggiamento migliore
    > > nei confronti dei bug: ne ammette l'esistenza e
    > > li
    > > patcha.
    > >
    > > > Io vorrei un router senza wireless o che si
    > > possa
    > > > completamente
    > > > disabilitare.
    > >
    > > ci sono router col bottone fisico per la parte
    > > wireless, quindi al di là della configurazione
    > > (che conviene comunque fare), se pigi il tasto e
    > > spegni sei verosimilmente a
    > > posto.
    > se vuoi un cosetto SOHO, io sarei per pescare uno
    > di questi http://wiki.openwrt.org/toh/start (ma
    > se pensi di non usare MAI il wifi, forse meglio
    > andare altrove) ... e con wlctl spegni il wifi...
    > (wlctl o quel che c'e'...Con la lingua fuori)

    Penso di non usare MAI il wifi si, nel caso mi serva attacco quello powerlan.
    Grazie

    > > Comunque aspetta 3,2,1... che arriva il tucu a
    > > dirti quale router casereccio devi prendere, che
    > > l'ha fatto lui controllando anche l'hardware
    > > circuito per circuito
    > LOL eheh
    non+autenticato
  • - Scritto da: 120938
    > - Scritto da: bubba
    > > - Scritto da: ...
    > > > - Scritto da: 120938
    > > >
    > > > > Che marca consigli ?
    > > >
    > > > Qualunque altro.
    > > > Netgear per esempio ha un atteggiamento
    > migliore
    > > > nei confronti dei bug: ne ammette
    > l'esistenza
    > e
    > > > li
    > > > patcha.
    > > >
    > > > > Io vorrei un router senza wireless
    > o che
    > si
    > > > possa
    > > > > completamente
    > > > > disabilitare.
    > > >
    > > > ci sono router col bottone fisico per
    > la
    > parte
    > > > wireless, quindi al di là della
    > configurazione
    > > > (che conviene comunque fare), se pigi
    > il tasto
    > e
    > > > spegni sei verosimilmente a
    > > > posto.
    > > se vuoi un cosetto SOHO, io sarei per
    > pescare
    > uno
    > > di questi http://wiki.openwrt.org/toh/start
    > (ma
    > > se pensi di non usare MAI il wifi, forse
    > meglio
    > > andare altrove) ... e con wlctl spegni il
    > wifi...
    > > (wlctl o quel che c'e'...Con la lingua fuori)
    >
    > Penso di non usare MAI il wifi si, nel caso mi
    > serva attacco quello
    > powerlan.
    > Grazie
    e prendersi un Mikrotik routerBoard ....?
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: 120938
    > > - Scritto da: bubba
    > > > - Scritto da: ...
    > > > > - Scritto da: 120938
    > > > >
    > > > > > Che marca consigli ?
    > > > >
    > > > > Qualunque altro.
    > > > > Netgear per esempio ha un
    > atteggiamento
    > > migliore
    > > > > nei confronti dei bug: ne ammette
    > > l'esistenza
    > > e
    > > > > li
    > > > > patcha.
    > > > >
    > > > > > Io vorrei un router senza
    > wireless
    > > o che
    > > si
    > > > > possa
    > > > > > completamente
    > > > > > disabilitare.
    > > > >
    > > > > ci sono router col bottone fisico per
    > > la
    > > parte
    > > > > wireless, quindi al di là della
    > > configurazione
    > > > > (che conviene comunque fare), se pigi
    > > il tasto
    > > e
    > > > > spegni sei verosimilmente a
    > > > > posto.
    > > > se vuoi un cosetto SOHO, io sarei per
    > > pescare
    > > uno
    > > > di questi http://wiki.openwrt.org/toh/start
    > > (ma
    > > > se pensi di non usare MAI il wifi, forse
    > > meglio
    > > > andare altrove) ... e con wlctl spegni il
    > > wifi...
    > > > (wlctl o quel che c'e'...Con la lingua fuori)
    > >
    > > Penso di non usare MAI il wifi si, nel caso mi
    > > serva attacco quello
    > > powerlan.
    > > Grazie
    > e prendersi un Mikrotik routerBoard ....?

    dio maledica il mikrotik (specialmente il CRS125-24G)Deluso
    non+autenticato
  • - Scritto da: marcione
    > - Scritto da: bubba
    > > - Scritto da: 120938

    > > > Penso di non usare MAI il wifi si, nel caso mi
    > > > serva attacco quello
    > > > powerlan.
    > > > Grazie
    > > e prendersi un Mikrotik routerBoard ....?
    >
    > dio maledica il mikrotik (specialmente il
    > CRS125-24G)
    >Deluso
    ehhehe come mai? FORSE quel CRS pretende troppo da se stesso (leggo: switch layer 3... con tante porte gigabit)
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: marcione
    > > - Scritto da: bubba
    > > > - Scritto da: 120938
    >
    > > > > Penso di non usare MAI il wifi si, nel caso
    > mi
    > > > > serva attacco quello
    > > > > powerlan.
    > > > > Grazie
    > > > e prendersi un Mikrotik routerBoard ....?
    > >
    > > dio maledica il mikrotik (specialmente il
    > > CRS125-24G)
    > >Deluso
    > ehhehe come mai? FORSE quel CRS pretende troppo
    > da se stesso (leggo: switch layer 3... con tante
    > porte
    > gigabit)

    guarda, ne abbiamo presi 4 (su suggerimento di un paio di 'engineers') per la loro WAN e hanno creato un sacco di problemi: dall'aggiornamento di routeros che falliva random, a porte che smettevano di funzionare e si ripigliavano con un hard-reset, fino e problemi di stabilita' con tunnel IPSec (ovviamente implementato tra mikrotiks) e addirittura problemi con vlan da/per switch cisco (sg300 series in L3).

    ad oggi, il tutto e' stato rimpiazzato da un sg300-28 in L3 (che si smazza l'intervlan routing) ed un dell r210 con scheda intel x520-da2 come IPSec endpoint.

    ovviamente IPLCs e cablaggio strutturato sono rimasti invariatiDeluso
    non+autenticato
  • - Scritto da: marcione
    > - Scritto da: bubba
    > > - Scritto da: marcione
    > > > - Scritto da: bubba
    > > > > - Scritto da: 120938
    > >
    > > > > > Penso di non usare MAI il wifi si, nel
    > caso
    > > mi
    > > > > > serva attacco quello
    > > > > > powerlan.
    > > > > > Grazie
    > > > > e prendersi un Mikrotik routerBoard ....?
    > > >
    > > > dio maledica il mikrotik (specialmente il
    > > > CRS125-24G)
    > > >Deluso
    > > ehhehe come mai? FORSE quel CRS pretende troppo
    > > da se stesso (leggo: switch layer 3... con tante
    > > porte
    > > gigabit)
    >
    > guarda, ne abbiamo presi 4 (su suggerimento di un
    > paio di 'engineers') per la loro WAN e hanno
    > creato un sacco di problemi: dall'aggiornamento
    > di routeros che falliva random, a porte che
    > smettevano di funzionare e si ripigliavano con un
    > hard-reset, fino e problemi di stabilita' con
    > tunnel IPSec (ovviamente implementato tra
    > mikrotiks) e addirittura problemi con vlan da/per
    > switch cisco (sg300 series in
    > L3).
    azz pero'!... come dicevo forse pretendono troppo ... stesso SoC degli AP tp-link da 80euro... masticare QUELLA roba tipicamente richiede un backplane/asic &co adeguato... cmq io usai un router e basta (neanche era mio), switch mai visti..... (cmq tutto cio non giustifica l'aggiornamento sballato dell'os.. mah. forse e' una famiglia nata male?)
    > ad oggi, il tutto e' stato rimpiazzato da un
    > sg300-28 in L3 (che si smazza l'intervlan
    e via di ciscoSorride cmq costa un botto di piu...

    il tizio penso pero' volesse un oggetto casalingo..Sorride
    non+autenticato
  • Siccome per sfruttare il bug occorre usare un certificato "end entity" autentico per poi firmare (come se fosse un certificato CA) il certificato farlocco....
    Equivale a fare un attacco e lasciarci la firma!
    Bisogna essere dei veri VOLPONI!
    non+autenticato
  • - Scritto da: volpone
    > Siccome per sfruttare il bug occorre usare un
    > certificato "end entity" autentico per poi
    > firmare (come se fosse un certificato CA) il
    > certificato
    > farlocco....
    > Equivale a fare un attacco e lasciarci la firma!
    > Bisogna essere dei veri VOLPONI!
    anch'io l'avevo capita cosi (lasciamo perdere che poi puoi comprare un cc buono usando credenziali altrui)... ma poi questo mi ha fatto un attimo dubitare https://mta.openssl.org/pipermail/openssl-users/20... ... o forse non ho capito... (xe ora de magnare, che go una fame indosso...Con la lingua fuori)
    non+autenticato
  • certo che puoi comprare un cc in modo "inaffidabile" ma questo non è un bug del codice ma della CA.
    E come tale resta a prescindere dalla questione.
    Se il CC è inaffidabile lo è sia che tu ci firmi un altro cc sia che no...
    non+autenticato
  • - Scritto da: volpone
    > certo che puoi comprare un cc in modo
    > "inaffidabile" ma questo non è un bug del codice
    > ma della
    > CA.
    > E come tale resta a prescindere dalla questione.
    si e' ovvio... ma c'erano erano due frasi separate
    1) anch'io l'avevo capita cosi
    2) il thread mi ha fatto venire dei dubbi (a te no?)

    la nota collaterale a 1) (sull'acquisto) si riferiva solo a questa tua nota "Equivale a fare un attacco e lasciarci la firma!"... per dire che non e' un problema certo insormontabile il 'lasciarci la firma'... (aka 'si lasci la firma, ma e' di uno che e' stato cardato...' ). non e' parte del bug, chiaramente.
    non+autenticato
  • Se non è un problema insormontabile "lasciarci la firma" vuole dire che stai "tustando" una CA del picchio.
    Spero per te che tu ne sia contento!
    Anche perchè l'ultimo a prendere la decisione (cosa trustare e cosa no) sei tu.
    Forse non ti è chiaro ma è questo il punto reale di tutta la questione.
    Poi... per carità puoi sempre "fidarti" della decisione presa da tizio o caio e poi chiamare mamma perchè lui ha deciso "male"...
    non+autenticato