Questa settimana è stata rilevata nella diffusa libreria software crittografica OpenSSL una vulnerabilità denominata “Heartbleed” (http://heartbleed.com). OpenSSL trova larghissimo impiego, in particolare con applicazioni e server Web quali Apache e Nginx. La presenza della vulnerabilità è stata riscontrata nelle versioni da 1.0.1 a 1.0.1f di OpenSSL, sfruttate dagli hacker per leggere la memoria dei sistemi colpiti. L’accesso alla memoria può portare alla violazione delle chiavi segrete, permettendo di decrittografare e intercettare le comunicazioni crittografate con SLL, nonché di impersonare i fornitori di servizi. I dati in memoria possono anche contenere informazioni sensibili, inclusi nomi utente e password.
Heartbleed non è una vulnerabilità intrinseca di SSL/TLS, ma piuttosto un bug software dell’implementazione Heartbeat di OpenSSL. A essere compromessa non è la funzionalità di SSL/TLS e il protocollo rimane lo standard di riferimento per la crittografia dei dati in transito su Internet. Tuttavia, data l’ampia diffusione di OpenSSL, è possibile che circa il 66% dei sistemi Internet o i due terzi dei server Web (stando alle stime del report Netcraft sui server Web) facciano uso di questa libreria software. È auspicabile che le aziende che utilizzano OpenSSL provvedano quanto prima a effettuare l’aggiornamento del software alla versione corretta più recente (1.0.1g) o a ricompilare OpenSSL senza l’estensione Heartbeat.
Quale principale autorità di certificazione del settore, Symantec ha già adottato misure tese a rafforzare la protezione dei propri sistemi. I certificati radice di Symantec non corrono alcun rischio. Sono state tuttavia implementate tutte le best practice applicabili, tra cui la rigenerazione delle chiavi per tutti i certificati sui server Web contenenti le versioni di OpenSSL interessate dalla vulnerabilità.
Una volta che le aziende avranno aggiornato e ricompilato i relativi sistemi, Symantec suggerisce loro di sostituire tutti i certificati, indipendentemente dalla CA emittente, sui server Web per ridurre il rischio di violazioni. Symantec offrirà certificati sostitutivi gratuiti a tutti i clienti.
Symantec invita infine a reimpostare le password delle console di gestione dei certificati SSL e Code Signing. Anche in questo caso, si tratta di applicare una best practice di riconosciuta efficacia e il consiglio che Symantec dà alle aziende è di estendere tale raccomandazione, una volta che abbiano applicato la correzione, ai propri clienti finali, perché facciano altrettanto sui propri sistemi. Nel frattempo, continueremo a collaborare con i nostri clienti per contenere quanto più possibile l’impatto dei rischi di sicurezza che la vulnerabilità comporta.
Forniamo di seguito, per praticità, un riepilogo dei passi da intraprendere:
Per le aziende:
- Se si utilizzano versioni da 1.0.1 a 1.0.1f di OpenSSL, sarà necessario effettuare l’aggiornamento del software alla versione corretta più recente (1.0.1g) o ricompilare OpenSSL senza l’estensione Heartbeat.
- Una volta implementata una versione corretta di OpenSSL, occorrerà sostituire il certificato sul server Web.
- Infine, come best practice, sarà consigliato reimpostare le password degli utenti finali che potrebbero essere state decodificate nelle memorie dei server compromessi.
Per i consumatori:
- Essere consapevoli del fatto che, se i propri dati si trovavano nei sistemi di un fornitore di servizi vulnerabile, potrebbero essere stati esposti a estranei.
- Monitorare le comunicazioni dei fornitori di cui si utilizzano i servizi. Se il fornitore vulnerabile invita i clienti a sostituire le proprie password, provvedervi senza esitare.
- Fare attenzione a possibili e-mail di phishing inviate da hacker, contenenti la richiesta di aggiornare la password, per evitare di venire indirizzati a un sito Web contraffatto. Fare sempre e solo riferimento al dominio ufficiale del sito.