Heartbleed
Heartbleed a l'è staa on bug de tipo buffer over-read che l'ha lassaa 'na vulnerabilità de sicurezza in del software OpenSSL, doperaa fiss per i comunicazion segur TLS.
Descoverta
[Modifega | modifica 'l sorgent]El bug a l'è staa descovert el 1 de april del 2014 e publegada el 3 de april. La descoverta l'è stada praticament contemporanea in tra la Codenomicon e i laboratori del Google.
In quell dì el 17% di server segur, circa mezz milion, a l'era ciamaa vulnerabil.
El 7 de april el bug a l'è staa sistemaa.
Comportament
[Modifega | modifica 'l sorgent]El protocoll heartbeat (battit del coeur) el permett de tegnì verta 'na connession segura verta senza renegoziàlla e donca cont on resparmià de resors. 'Sto protocoll el fonziona che el client el manda al server 'na stringa e la sò dimension, e se el server el respond con quella stringa a l'è attiv.
La vulnerabilità la rend disponibil on tocch arbitrari e scernuu de l'attaccant de la memoria del server, che 'l può avègh denter anca di ciav bon de danneggià la privatezza di comunicazion, finna a la ciav publega del server e che permetten on attacch man in the middle. Anca i tecnegh de protezion avarien domà sbassaa i dagn, e avarien permittuu de fà on man in the middle dal moment de l'attacch, che però in la pupart di cas el serviss a nagott.
Esempi pratich
[Modifega | modifica 'l sorgent]On us legittim del servizzi al saria staa:
- Alis: Server, se ghe set manda indree la stringa "Ciao" de 4 caratter.
- Server: Ciao
L'us illegittim inveci el cuntava in sul fatt che in cas de differenza in tra la longhezza real de la stringa e quella deciarada l'avaria mandaa ona stringa equivalenta. Donca:
- Mallory: Server, se ghe set manda indree la stringa "Ciao" de 500 caratter
- Server: Ciao + alter 496 caratter
Ciarament in 'sti 496 caratter ghe pò vess di dacc sensibij.
Reazion
[Modifega | modifica 'l sorgent]I espert, per via de la gravità de la falla e di possibilità de utilizz, l'han definii senza problema "catastrofica".
El Tor Project l'ha consijaa a quej cont di esigenz specifegh de riservatezza de doperà no Internet in quej dì.