Parliamo in questa parte dell’aspetto relativo in particolare alla parte client e cloud continuando il nostro viaggio in heartbleed.
Come abbiamo premesso molta dell’attenzione è posta attualmente sulla vulnerabilità lato server, ma forse la situazione potrebbe essere forse ancora più grave se la si nota da lato client.
Abbiamo analizzato nella prima parte non in modo dettagliato l’effetto del bug, ma cosa effettivamente questo attacca è una estensione di OpenSSL, denominata heartbeats, utilizzata per tenere vivi i messaggi senza rinegoziare la connessione SSL e come abbiamo detto questo estensione può essere utilizzata senza essere effettivamente autenticati al server.
Ma i dati ricavati dal server con Heartbleed cosa rivelano?
La chiave privata, numero di sessione e username e password, cominciamo quindi a comprendere la portata di questi esposizione di dati lato client. La situazione è ancora più drammatica se immaginiamo che questo attacco è totalmente INVISIBILE, nessun tipo di log id su questa attività viene tenuto, quindi otteniamo una chiave privata per la cifratura e il nostro furto non c’è mai stato in realtà.
Lato client quindi comprendiamo ora appieno la portata di questa vulnerabilità che non è ancora stata pienamente sfruttata anche se un attaccante possibilmente può dirottare l’intero traffico SSL.
Buone e cattive notizie per i Client e per il Cloud
Adesso cerchiamo di valutare le buone e le cattive notizie in merito alla situazione generale:
Buone notizie
Firefox, Chrome e MSIE installati su windows utilizzano le implementazioni di crittografia di Microsoft quindi non risultano vulnerabili, come anche IIS.
Cattive notizie
I sistemi operativi Android sono vulnerabili, in particolare la versione 4.1.0 e la 4.1.1, che rappresentano circa il 30% del mercato dei dispositivi Android.
Tutti i programmi di terze parti che utilizzano OpenSSL sono vulnerabili, questo comporta anche la possibilità di compromissioni di ambienti virtuali, che possono essere una possibile implementazione per il cloud computing.
OpenVPN è largamente utilizzato è purtroppo è risultato essere vulnerabile, contando che molti utilizzano questo software in ambienti untrusted, sicuramente bisogna correre ai ripari nel minor tempo possibile.
Vogliamo provocare e suscitare spunti di riflessione: molti parlano di OSS ossia Open Source = Security perchè ho la possibilità di valutare il codice sorgente e modellarlo, ma una errata configurazione, una semplice svista, può portare effetti devastanti, quindi scegliere ma sempre soppesando le proprie esigenze e valutando il rischio che si è disposti a correre.