OpenSSL: scoperto un nuovo bug.



La notizia, ancora una volta, ha fatto saltare sulla sedia chi, come me, gestisce e amministra server web. A soli due mesi dalla scoperta della falla Heartbleed è stata scoperta una nuova falla nella libreria OpenSSL che resta una delle più utilizzate per la gestione della crittografia fra server web e client. Fortunatamente il problema, anche se risale ad alcuni anni or sono per essere realmente pericoloso ha bisogno di serie di condizioni sfavorevoli che devono verificarsi contemporaneamente. Di conseguenza gli utenti possono stare relativamente tranquilli.

Naturalmente gli sviluppatori della libreria OpenSSL sono corsi immediatamente ai ripari e già durante la nottata è stato distribuito, almeno in ambiente Linux, un corposo aggiornamento dei pacchetti che, stando alle note di rilascio, dovrebbe aver messo rimedio a quest’ultima falla e anche ad altre scoperte dopo (o forse in seguito) al caso Heartbleed.

Teoricamente la vulnerabilità di OpenSSL poteva consentire a un malintenzionato di inserirsi come “orecchio indiscreto” nelle comunicazioni crittografate fra il PC di un utente e quello della sua banca carpendo informazioni molto delicate. Con questa tecnica non sono modificate le informazioni trasmesse e, di conseguenza, sia il server sia il client non si rendono conto di essere spiati.

Come dicevamo il problema, che potrebbe aver interessato un server web ogni quattro, per avere conseguenze ha bisogno che sia il client sia il server utilizzino la versione delle librerie OpenSSL interessate alla falla cosa estremamente improbabile in quanto la maggior parte dei browser usati sui desktop e sui laptop usano proprie tecniche di utilizzo dei protocolli SSL e, anche in caso di collegamento a un server vulnerabile, il rischio è minimo.

Qualche rischio in più si potrebbe avere su device mobili e in particolare quelli mossi da Android che in alcune versioni, sembra assodato, utilizza proprio la versione di OpenSSL che presenta il problema. A margine dei vari problemi del protocollo di crittografia resta una considerazione positiva: negli ultimi due mesi il livello di attenzione delle figure professionali che gestiscono server web si è alzato molto e grazie a un costante dialogo con la comunità di sviluppatori Open Source si rimediano a problemi che, per anni, sono stati ignorati.

heartbleed