Segnaliamo due funzionali test online che permettono di verificare se un server web sia ancora soggetto al cosiddetto “Heartbleed Bug”, venuto alla luce in questi giorni e presente da circa un paio d’anni in OpenSSL, la libreria utilizzata nel web server Apache e, quindi, su circa due terzi dei server web di tutto il mondo, per la gestione delle connessioni SSL/TLS attraverso il protocollo HTTPS.
Nell’articolo Vulnerabilità in OpenSSL: a rischio due terzi dei server web ci siamo soffermati a spiegare la natura del problema e perché la vulnerabilità scoperta nelle librerie OpenSSL rappresenti un grave rischio sia per chi gestisce i server, sia per gli utenti finali.
Un aggressore (vedere anche le informazioni diffuse attraverso il sito heartbleed.com) può riuscire, da remoto, e senza lasciare alcuna traccia del suo operato, a leggere il contenuto della memoria del server web estraendone credenziali d’accesso altrui, dati sensibili e, soprattutto, le chiavi private che vengono sfruttate per proteggere le conversazioni in forma cifra fra server e client (e viceversa).
Il primo intervento che dovrebbero mettere in campo tutti coloro che utilizzano un web server Linux dovrebbe essere quello di aggiornare immediatamente OpenSSL alla versione 1.0.1g, esente da ogni vulnerabilità nota. Le principali distribuzioni Linux hanno già messo a disposizione le patch mentre gli amministratori di macchine Windows Server, generalmente, non debbono fare nulla a meno che – sugli stessi sistemi – non sia installata una versione di Apache.
Dopo l’aggiornamento di OpenSSL alla release 1.0.1g è caldamente consigliato revocare i certificati digitali fino ad oggi utilizzati e richiederne di nuovi all’autorità di certificazione di riferimento. Gli aggressori, infatti, potrebbero essere già riusciti a sottrarre le chiavi private sin qui impiegate: il semplice aggiornamento di OpenSSL non mette al riparo da attacchi che sfruttino le informazioni già reperite in precedenza.
Inoltre, come si ricorda anche dall’Internet Storm Center di SANS, l’attacco – che prende di mira l’estensione Heartbeat di OpenSSL (da qui il nome “Heartbleed“, cuore che gronda sangue) – non permette solamente di sottrarre la chiave privata in una connessione cifrata HTTPS ma anche di leggere il contenuto della memoria del server con la possibilità, per un malintenzionato, di impossessarsi di molte altre informazioni.
Per effettuare un test dei siti vulnerabili all'”Heartbleed Bug”, è possibile usare i seguenti due strumenti:
– Possible.lv heartbleed test
– Filippo Heartbleed test
– LastPass Heartbleed checker
Fino a qualche ora fa erano moltissimi i siti che, tra i 10.000 più visitati al mondo, ancora utilizzavano versioni vulnerabili di OpenSSL o che comunque avevano l’estensione Heartbeat abilitata (è immediato rendersene conto visitando questa pagina). Adesso molti amministratori di sistema hanno già preso le misure cautelative del caso mettendo in sicurezza i rispettivi web server.
Gli sviluppatori di Tor hanno addirittura suggerito di evitare, in via precauzionale, la connessione a siti HTTPS per qualche giorno (vedere questa nota).
Noi suggeriamo, per scrupolo, di effettuare un test con gli strumenti di controllo sopra citati.