• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
Glue Labs

Glue Labs

Trasformiamo le tue idee in prodotti digitali di successo!

  • HOME
  • SOLUZIONI
  • NEWS
  • PRODOTTI
  • CONTATTI
  • CASE STUDY

I client e il Cloud subiscono CVE-2014-0160 aka Heartbleed

Client, Android, OpenVPN, Cloud tutti affetti dal bug

Parliamo in questa parte dell’aspetto relativo in particolare alla parte client e cloud continuando il nostro viaggio in heartbleed.

Come abbiamo premesso molta dell’attenzione è posta attualmente sulla vulnerabilità lato server, ma forse la situazione potrebbe essere forse ancora più grave se la si nota da lato client.

Abbiamo analizzato nella prima parte non in modo dettagliato l’effetto del bug, ma cosa effettivamente questo attacca è una estensione di OpenSSL, denominata heartbeats, utilizzata per tenere vivi i messaggi senza rinegoziare la connessione SSL e come abbiamo detto questo estensione può essere utilizzata senza essere effettivamente autenticati al server.

Ma i dati ricavati dal server con Heartbleed cosa rivelano?

La chiave privata, numero di sessione e username e password, cominciamo quindi a comprendere la portata di questi esposizione di dati lato client. La situazione è ancora più drammatica se immaginiamo che questo attacco è totalmente INVISIBILE, nessun tipo di log id su questa attività viene tenuto, quindi otteniamo una chiave privata per la cifratura e il nostro furto non c’è mai stato in realtà.

Lato client quindi comprendiamo ora appieno la portata di questa vulnerabilità che non è ancora stata pienamente sfruttata anche se un attaccante possibilmente può dirottare l’intero traffico SSL.

Buone e cattive notizie per i Client e per il Cloud

Adesso cerchiamo di valutare le buone e le cattive notizie in merito alla situazione generale:

Buone notizie

Firefox, Chrome e MSIE installati su windows utilizzano le implementazioni di crittografia di Microsoft quindi non risultano vulnerabili, come anche IIS.

Cattive notizie

I sistemi operativi Android sono vulnerabili, in particolare la versione 4.1.0 e la 4.1.1, che rappresentano circa il 30% del mercato dei dispositivi Android.

Tutti i programmi di terze parti che utilizzano OpenSSL sono vulnerabili, questo comporta anche la possibilità di compromissioni di ambienti virtuali, che possono essere una possibile implementazione per il cloud computing.

OpenVPN è largamente utilizzato è purtroppo è risultato essere vulnerabile, contando che molti utilizzano questo software in ambienti untrusted, sicuramente bisogna correre ai ripari nel minor tempo possibile.

Vogliamo provocare e suscitare spunti di riflessione: molti parlano di OSS ossia Open Source = Security perchè ho la possibilità di valutare il codice sorgente e modellarlo, ma una errata configurazione, una semplice svista, può portare effetti devastanti, quindi scegliere ma sempre soppesando le proprie esigenze e valutando il rischio che si è disposti a correre.

  • Parte 1 – Bug su OpenSSL CVE-2014-0160 aka Heartbleed
  • Parte 2 – Capire se OpenSSL è vulnerabile a CVE-2014-0160 Heartbleed
  • Parte 3 – CISCO e Juniper affetti da CVE-2014-0160 aka Heartbleed

Continua la lettura

  1. Magento vs Shopify

Categoria: Articoli Tags: Heartbleed, OpenSSL

Barra laterale primaria

Cosa facciamo

  • Content Strategy
  • E-Commerce
  • Formazione avanzata Web, Mobile & Cloud
  • IoT – Sviluppo e Integrazione
  • Micro Live Learning(MLL) Web, Mobile & Cloud
  • Project Management Prince2
  • PushAPE
  • Sicurezza ICT
  • Software Aziendali
  • Sviluppo Mobile App
  • Sviluppo, Supporto, Assistenza Tecnica e Hosting Google Cloud
  • System Integration
  • Web Application
  • Web Design

Contatti

Scrivici dal form di contatto

Tel +39 06 56549766
Fax +39 06 21122581
Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it

Dove siamo

Roma: Piazza Don Sturzo 15
Milano: Via Lazzaretto 19
Torino: Via San Domenico 28
Altamura: Via Maggio 1648 24

"*" indica i campi obbligatori

Nome*
Questo sito è protetto da reCAPTCHA e si applicano le Normative sulla Privacy e i Termini di Servizio di Google.
Inviando i tuoi dati accetti le condizioni sulla Privacy. Li useremo per rispondere alle tue domande e richieste.
Consenso*
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Siamo parte di

La nostra Agenzia di Marketing

Footer

Partnership



Rimaniamo in contatto

Iscriviti alla nostra newsletter

Nome
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Soluzioni

  • Integrazione di Spreaker API con WordPress e Web Application
  • Revisione, validazione, attestazione e Relazione Tecnica su Ricerca & Sviluppo e Innovazione Tecnologica
  • Migrazione da ASP.NET Web Forms e Visual Basic ad Angular Web Application
  • Corso Angular 15
  • Supporto ed Integrazione di SPID e CIE con OpenID Connect
  • Consulenza e Assessment pre-formazione
  • Integrazione con le API di OpenAI e ChatGPT
  • Corso Firebase
  • Corso Cucumber per Javascript
  • Supporto ed Assistenza nell’implementazione ed utilizzo dei Kit di Designers Italia

Articoli

  • Vonage Proactive Connect: una piattaforma per il marketing automation
  • Le 4 metriche principali delle Performance del DevOps
  • Come trasformare una Web Application in una Mobile App: Capacitor di Ionic
  • Moodle per essere compliant con gli obblighi formativi in ambito sicurezza sul lavoro
  • Perchè adottare il modello One Concern(o Application) One Container
  • Perchè utilizzare la WebAR
  • Le 3 ragioni per implementare un chatbot nella tua azienda
  • I 5 fattori che impattano sulla reliability delle applicazioni
  • Le 10 innovazioni che modificheranno i servizi IT nel 2023
  • DevSusOps: sviluppare per la sostenibilità del software e delle architetture IT

Le nostre sedi

  • Roma, Piazza Don Sturzo 15
  • Milano, Via Lazzaretto 19
  • Torino, Via San Domenico 28
  • Altamura, Via Maggio 1648 24

Contatti

  • Tel. +39 06 87811067
  • Fax +39 06 99335373
  • glue-labs@legalmail.it
  • info@glue-labs.com
  • Facebook
  • LinkedIn
  • Twitter

Scarica app da App StoreScarica app da Play Store


Glue Labs © 2011–2023 | Copyright | Privacy Policy | Company Info | Cookie Policy | Gestione Cookies

Gestisci Consenso Cookie
Usiamo cookie per ottimizzare il nostro sito web ed i nostri servizi.
Funzionale Sempre attivo
La conservazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire la fruizione di uno specifico servizio esplicitamente richiesto dall'abbonato o dall'utente, o al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente a fini statistici anonimi. Senza un mandato di comparizione, il rispetto volontario da parte del tuo provider di servizi Internet o registrazioni aggiuntive da parte di terzi, le informazioni archiviate o recuperate solo per questo scopo non possono essere generalmente utilizzate per identificarti. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
L'archiviazione tecnica o l'accesso è necessario per creare profili utente per inviare pubblicità o per tracciare l'utente su un sito Web o su più siti Web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Gestisci fornitori Per saperne di più su questi scopi
Gestisci preferenze
{title} {title} {title}