Heartbleed

Quest articol chì l'è scrivuu in lombard, grafia milanesa.

Heartbleed a l'è staa on bug de tipo buffer over-read che l'ha lassaa 'na vulnerabilità de sicurezza in del software OpenSSL, doperaa fiss per i comunicazion segur TLS.

Descoverta[Modifega | modifica 'l sorgent]

El bug a l'è staa descovert el 1 de april del 2014 e publegada el 3 de april. La descoverta l'è stada praticament contemporanea in tra la Codenomicon e i laboratori del Google.

In quell dì el 17% di server segur, circa mezz milion, a l'era ciamaa vulnerabil.

El 7 de april el bug a l'è staa sistemaa.

Comportament[Modifega | modifica 'l sorgent]

El protocoll heartbeat (battit del coeur) el permett de tegnì verta 'na connession segura verta senza renegoziàlla e donca cont on resparmià de resors. 'Sto protocoll el fonziona che el client el manda al server 'na stringa e la sò dimension, e se el server el respond con quella stringa a l'è attiv.

La vulnerabilità la rend disponibil on tocch arbitrari e scernuu de l'attaccant de la memoria del server, che 'l può avègh denter anca di ciav bon de danneggià la privatezza di comunicazion, finna a la ciav publega del server e che permetten on attacch man in the middle. Anca i tecnegh de protezion avarien domà sbassaa i dagn, e avarien permittuu de fà on man in the middle dal moment de l'attacch, che però in la pupart di cas el serviss a nagott.

Esempi pratich[Modifega | modifica 'l sorgent]

On us legittim del servizzi al saria staa:

• Alis: Server, se ghe set manda indree la stringa "Ciao" de 4 caratter.
• Server: Ciao

L'us illegittim inveci el cuntava in sul fatt che in cas de differenza in tra la longhezza real de la stringa e quella deciarada l'avaria mandaa ona stringa equivalenta. Donca:

• Mallory: Server, se ghe set manda indree la stringa "Ciao" de 500 caratter
• Server: Ciao + alter 496 caratter

Ciarament in 'sti 496 caratter ghe pò vess di dacc sensibij.

Reazion[Modifega | modifica 'l sorgent]

I espert, per via de la gravità de la falla e di possibilità de utilizz, l'han definii senza problema "catastrofica".

El Tor Project l'ha consijaa a quej cont di esigenz specifegh de riservatezza de doperà no Internet in quej dì.

Riferiment[Modifega | modifica 'l sorgent]

• CVE-2014-0160
• La NSA conosceva Heartbleed da due anni
• Heartbleed, coinvolto anche hardware
• Heartbleed, falla di sicurezza senza precedenti ferma Internet. Come difendersi
• Heartbleed - parte 1: la chiacchiera da pub