La falla di sicurezza più importante "Heartbleed" mette a rischio i servizi critici

È stato rivelato oggi che oltre metà della rete Internet potrebbe essere stata compromessa da una falla di sicurezza vecchia di due anni, che potrebbe avere ripercussioni anche su numerosi servizi Bitcoin online.

La vulnerabilità, denominata 'Sanguinamento del cuore’, riguarda le versioni di OpenSSL, un'implementazione open source dei protocolli di sicurezza Internet SSL e TLS che crittografano e proteggono il traffico Internet, inclusi: password, messaggi, e-commerce e servizi bancari e altri dati sensibili, tra cui reti private virtuali (VPN). OpenSSL è la libreria software più popolare utilizzata per questo scopo.

Due anni

La falla Heartbleed è nota ai ricercatori dal 2011, e persino agli hacker "black hat" dal 2012, il che significa che dati critici su una larga porzione di Internet sono stati apertamente disponibili per anni. Non ci sono state segnalazioni confermate di exploit, sebbene gli attacchi non lascino traccia.

Gli amministratori della sicurezza di tutto il mondo stanno ora applicando in fretta una correzione e modificando i certificati e le chiavi Secret nella remota possibilità che possano essere stati compromessi.

Poiché indebolisce qualsiasi sito che utilizzi il protocollo https "sicuro", la minaccia T riguarda specificamente i servizi Bitcoin come portafogli e exchange. Ma data la tendenza delle autorità a ignorare i furti Bitcoin o l'incapacità di indagare in modo efficace, potrebbe lasciare i servizi Bitcoin più vulnerabili rispetto ai servizi finanziari online "tradizionali" o ad altri servizi critici.

Testa i siti dei tuoi servizi

Esperto di sicurezza italianoFilippo Valsordacostruito untest basato sul webche consente a chiunque di immettere il nome host di un server per vedere se è interessato o meno. Ha anche pubblicato il codice open source per il testsu GitHub.

Al momento in cui scrivo, l'inserimento degli indirizzi dei principali servizi Bitcoin sul sito di Valsorda ha mostrato che Blockchain, Coinbase e BitPay erano sicuri, ma che l'exchange più popolare al mondo, Bitstamp, è rimasto vulnerabile.

Anche Valsorda si è mostrato più preoccupato per i servizi Bitcoin online che per qualsiasi aspetto inerente ad altre implementazioni, affermando che erano "semplici da sfruttare e non così QUICK da correggere".

"È fondamentale dire a tutti di controllare tutti i loro server e di aggiornarli il prima possibile [...] Ovviamente T posso esserne certo, ma il software specifico per Bitcoin (portafogli locali, ETC.) non dovrebbe essere interessato, anche se utilizza OpenSSL, poiché il bug è attivabile solo nelle connessioni TLS attive."

"Tuttavia, quasi tutto ciò che è pubblico nell'ecosistema Bitcoin è (giustamente) protetto con TLS (si pensi a tutti i portafogli web, agli exchange, ma anche alle API e ai server di posta) e potenzialmente (probabilmente) interessato."

Correggere il software, ruotare i certificati

Si stima che oltre il 50% dei server Internet utilizzi una qualche forma di OpenSSL (e probabilmente molti di più). Il pensiero che oltre la metà dei dati sensibili di Internet potesse essere esposta per due anni ha fatto sudare i dipartimenti di sicurezza.

Sfruttando Heartbleed, un aggressore potrebbe accedere alla RAM dei sistemi interessati, consentendogli di vedere fino a 64 kilobyte di dati alla volta, sufficienti per accumulare conoscenze sufficienti per accedere alle chiavi Secret di un sistema. Tali chiavi vengono utilizzate per crittografare e decrittografare il traffico sensibile e identificare i provider di servizi.

Una volta ottenute le chiavi Secret , gli aggressori potrebbero leggere apertamente qualsiasi traffico da e verso un server o impersonare servizi e utenti.

Gli attacchi a un sistema vulnerabile non richiedono tecniche man-in-the-middle e non lasciano traccia, impedendo agli amministratori di sistema di sapere con certezza se i loro sistemi sono stati compromessi.

L'entità del potenziale danno ha lasciato alcuni perplessi:

Heartbleed è un bug RARE : un fallimento in una libreria Cripto che fa trapelare dati che vanno oltre ciò che sta proteggendo. Quindi peggio di nessuna Cripto .





– Matt Blaze (@mattblaze) 8 aprile 2014

Mike Hearn

, sviluppatore e presidente del Comitato per le leggi e le Politiche della Bitcoin Foundation, ha affermato di sperare che l'impatto sui servizi Bitcoin sia limitato, ma ha osservato che i servizi Bitcoin T sempre adottano le migliori pratiche per la sicurezza:

"Spero che l'impatto sarà limitato. I siti principali dovranno ruotare le loro chiavi SSL dopo l'aggiornamento [...] La maggior parte dei siti dovrebbe avere le chiavi private per i loro portafogli in un processo server diverso in cui i dati non possono essere estratti in questo modo. Tuttavia non mi sorprenderebbe se alcuni siti non funzionassero in questo modo per qualsiasi motivo e potrebbero subire furti."

Le aziende reagiscono

In seguito alla notizia, molti exchange di Bitcoin e altcoin si sono rivolti a Twitter per rilasciare risposte ufficiali e aggiornare gli utenti sui progressi compiuti nella risoluzione della falla.

#TimbroBitdisattiva le sue funzioni di accrescimento, login e prelievo di tutte le valute virtuali come precauzione in seguito alle recenti notizie su OpenSSL.

— Bitstamp (@Bitstamp)8 aprile 2014

In un'intervista con CoinDesk, il CEO di Bitstamp Nejc Kodrič ha rivelato che, nonostante l'azienda abbia patchato con successo i suoi server, il suo fornitore di mitigazione DDoS, Incapsula, deve fare lo stesso per garantire la massima sicurezza.

Pertanto, lo scambio ha scelto di rimanere "sul lato sicuro" edisattivare temporaneamenteregistrazioni di account, accessi agli account e tutte le funzioni di prelievo di valuta virtuale.

Da allora, altri exchange hanno rilasciato dichiarazioni simili tramite la piattaforma, tra cui Bitfinex, una recente aggiunta aBPI di CoinDesk.

Risolto il bug Heartbleed su Bitfinex, i prelievi sono disabilitati per ora finché non ci assicureremo che tutti siano al sicuro

— Bitfinex.com (@bitfinex)8 aprile 2014

Nel frattempo, piattaforme come localbitcoins.com eBitcurexhanno riportato un successo maggiore:

Siamo di nuovo online, il bug di Heartbleed è stato risolto.<a href="http://t.co/OwP9Ft1dE7">T</a>

— LocalBitcoins.com (@LocalBitcoins)8 aprile 2014

Blockchain.info ha anche rilasciato una dichiarazionetramite il suo sito webaffermando cheservizi aggiornati una settimana faL'azienda ha inoltre sottolineato che le password del portafoglio non vengono mai inviate al suo server.

Ha aggiunto: "Continueremo a indagare se necessario e vi forniremo tutti gli aggiornamenti necessari".

Comunicato stampa di informazioni pubbliche

La notizia dell'esistenza di Heartbleed è stata diffusa dalla società finlandese di consulenza sulla sicurezza informaticaCodicenomicon, che ha pubblicato la descrizione dopo aver provato l'exploit su se stesso. Un ingegnere della sicurezza di Google, Neel Mehta, lo ha segnalato alSquadra OpenSSLmentre Adam Langley e Bodo Moeller preparavano la soluzione.

Il nome deriva dall'esistenza del bug nell'estensione "heartbeat" di OpenSSL e non rappresenta alcuna falla nel protocollo SSL/TLS stesso.

Codenomicon ha affermato che lo sfruttamento era "facile" e che aveva attaccato con successo i propri servizi, ottenendo l'accesso alle chiavi Secret per Certificati X.509, nomi utente e password e altre comunicazioni "aziendali critiche".

di OpenSSLavviso di sicurezzaha affermato che Heartbleed ha interessato le versioni 1.0.1 e 1.0.2-beta della libreria software, tra cui 1.0.1f e 1.0.2-beta1.

"Un controllo dei limiti mancanti nella gestione dell'estensione TLS heartbeat può essere utilizzato per rivelare fino a 64 k di memoria a un client o server connesso", si legge, consigliando agli utenti di eseguire immediatamente l'aggiornamento o di rimuovere gli heartbeat dalla propria versione di OpenSSL ricompilandola con -DOPENSSL_NO_HEARTBEATS."

Questa storia è stata scritta in collaborazione con Grace Caffyn.

Cuoreimmagine tramite Shutterstock