Come riesco quindi a comprendere se il mio sistema è vulnerabile?
Questa domanda è sicuramente molto ma molto importante. Cominciamo quindi con il porre dei limiti: le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 fino alla 1.0.1f inclusa, tutte le altre versioni non risultano essere compromesse. Il problema risiede nel fatto che le versioni contenenti il bug sono quelle rilasciate negli ultimi due anni.
Il protocollo di cifratura è sicuro
Chiariamo a questo punto un concetto di base, questo bug è un errore di implementazione, non un buco nel protocollo di cifratura, quindi solo i programmi che usano le librerie di OpenSSL ed implementano il protocollo SSL ne risultano affette, se invece vengono utilizzate per altri motivi, questi non sono affetti da bug.
Il rischio proveniente da tale vulnerabilità di implementazione, viene mitigato con l’ultimo update del software OpenSSL 1.0.1 g rilasciato in data 7 aprile 14′.
Ma mentre la risoluzione lato server è mitigata in questo modo ben più complessa è la situazione per quanto riguarda differenti dispositivi di rete anch’essi affetti da tale vulnerabilità, ossia gli utenti, i mobile device e anche dispositivi di rete quali i router.
Analizzeremo questi aspetti nella prossima parte dell’articolo.