Back to top

I client e il Cloud subiscono CVE-2014-0160 aka Heartbleed

Client, Android, OpenVPN, Cloud tutti affetti dal bug

Parliamo in questa parte dell’aspetto relativo in particolare alla parte client e cloud continuando il nostro viaggio in heartbleed.

Come abbiamo premesso molta dell’attenzione è posta attualmente sulla vulnerabilità lato server, ma forse la situazione potrebbe essere forse ancora più grave se la si nota da lato client.

Abbiamo analizzato nella prima parte non in modo dettagliato l’effetto del bug, ma cosa effettivamente questo attacca è una estensione di OpenSSL, denominata heartbeats, utilizzata per tenere vivi i messaggi senza rinegoziare la connessione SSL e come abbiamo detto questo estensione può essere utilizzata senza essere effettivamente autenticati al server.

Ma i dati ricavati dal server con Heartbleed cosa rivelano?

La chiave privata, numero di sessione e username e password, cominciamo quindi a comprendere la portata di questi esposizione di dati lato client. La situazione è ancora più drammatica se immaginiamo che questo attacco è totalmente INVISIBILE, nessun tipo di log id su questa attività viene tenuto, quindi otteniamo una chiave privata per la cifratura e il nostro furto non c’è mai stato in realtà.

Lato client quindi comprendiamo ora appieno la portata di questa vulnerabilità che non è ancora stata pienamente sfruttata anche se un attaccante possibilmente può dirottare l’intero traffico SSL.

Buone e cattive notizie per i Client e per il Cloud

Adesso cerchiamo di valutare le buone e le cattive notizie in merito alla situazione generale:

Buone notizie

Firefox, Chrome e MSIE installati su windows utilizzano le implementazioni di crittografia di Microsoft quindi non risultano vulnerabili, come anche IIS.

Cattive notizie

I sistemi operativi Android sono vulnerabili, in particolare la versione 4.1.0 e la 4.1.1, che rappresentano circa il 30% del mercato dei dispositivi Android.

Tutti i programmi di terze parti che utilizzano OpenSSL sono vulnerabili, questo comporta anche la possibilità di compromissioni di ambienti virtuali, che possono essere una possibile implementazione per il cloud computing.

OpenVPN è largamente utilizzato è purtroppo è risultato essere vulnerabile, contando che molti utilizzano questo software in ambienti untrusted, sicuramente bisogna correre ai ripari nel minor tempo possibile.

Vogliamo provocare e suscitare spunti di riflessione: molti parlano di OSS ossia Open Source = Security perchè ho la possibilità di valutare il codice sorgente e modellarlo, ma una errata configurazione, una semplice svista, può portare effetti devastanti, quindi scegliere ma sempre soppesando le proprie esigenze e valutando il rischio che si è disposti a correre.

Casi di Successo

Uno dei maggiori produttori mondiali di strumentazioni sanitarie per sale operatorie usa le nostre soluzioni System Integration e Web Application per gestire diagnostica, video e molto altro tramite schermi touch.

Inizia ora il tuo progetto

CONTATTI

Scrivici dal form di contatto

Tel +39 06 87811067
Fax +39 06 99335373

Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it

Dove Siamo
Roma: Piazza Don Sturzo 15
Padova: Via Savonarola 217
Milano: Viale Monza 345
Torino: Via Nizza 262

Nome*

E-mail*

Telefono(per un contatto più rapido)

Come possiamo aiutarti?

Altro che vuoi dirci?

Inviando i tuoi dati accetti le condizioni sulla privacy. Li useremo per rispondere alle tue domande e richieste.

TOP