Symantec
09/04/2014

Il bug Heartbleed

Il bug Heartbleed è una grave vulnerabilità evidenziatasi nella popolare libreria software di crittografia OpenSSL.

Essa consente il furto di informazioni protette dalla crittografia SSL/TLS, normalmente utilizzata per la sicurezza di Internet.

Il protocollo SSL/TLS garantisce la sicurezza delle comunicazioni e la privacy su Internet in ambiti quali il Web, le e-mail, l’instant messaging (IM) e alcune reti private virtuali (VPN).

Il bug Heartbleed riguarda il software OpenSSL e non il protocollo SSL/TLS, che resta il mezzo più affidabile per la sicurezza di Internet.

Heartbleed consente di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL.

Ciò può compromettere le chiavi segrete utilizzate per identificare i fornitori dei servizi e per crittografare il traffico, i nomi e le password degli utenti oltreché i contenuti effettivi delle comunicazioni.

Un aggressore potrebbe dunque spiare le comunicazioni, sottrarre dati direttamente dai servizi e dagli utenti, nonché di impersonare servizi e utenti stessi.


Come fronteggiare il rischio

Il fix è stato realizzato, è dunque necessario effettuare l’upgrade di OpenSSL.

Il bug riguarda soltanto le versioni 1.0.1 e 1.0.2-beta di OpenSSL, incluse la 1.0.1f e la 1.0.2-beta1.

Gli utenti interessati devono eseguire l'aggiornamento a OpenSSL 1.0.1g.

Coloro che sono impossibilitati a effettuare l’aggiornamento possono, in alternativa, ricompilare OpenSSL con -DOPENSSL_NO_HEARTBEATS.

(fonte: OpenSSL News)

Il problema non riguarda dunque i server Microsoft IIS, ma le macchine che utilizzano una delle versioni sopraindicate di OpenSSL.

In ogni caso, si suggerisce a tutti coloro che gestiscono servizi delicati (home banking, e-commerce, posta elettronica, eccetera) di invitare i propri clienti o utenti a modificare la loro password.

Verificate la vulnerabilità dei vostri sistemi, tramite l'apposito Tool Symantec


Revoca e riemissione gratuita dei certificati SSL

Trust Italia consiglia a tutti i suoi clienti che ritengono che i propri sistemi possano essere stati compromessi di effettuare la revoca e la riemissione certificati SSL a rischio.

La revoca e la riemissione, senza cambio dei dati, di un certificato SSL è un'operazione che Trust Italia offre ai propri clienti in maniera gratuita.

Logo Symantec Logo Thawte Logo Geotrust

Per sostituire un certificato cliccare sul logo corrispondente alla Certification Authority che lo ha rilasciato e procedere nel modo seguente:

  1. Inserire i dati richiesti:
    • Fully qualified domain name (Common Name);
    • Indirizzo e-mail di uno dei contatti indicati nell'ordine originario (Contatto tecnico o Organizzativo);
    • il numero di 5 cifre che appare nell'immagine posta a lato.
  2. Fare click su Continue.
  3. Appare una lista di certificati corrispondente ai criteri immessi. Fare click sul pulsante Request Access.
  4. Verrà inviata un'e-mail all'indirizzo indicato. Aprire l'e-mail ricevuta e fare click sul link presente che rimanda ai dettagli del certificato.
  5. Nel menu di sinistra fare click su Reissue Certificate. ATTENZIONE: per i certificati Symantec l'opzione non è Reissue, ma Replace.
  6. Nella pagina successiva immettere il nuovo csr e fare click su Submit.
  7. Dopo aver installato il nuovo certificato NON DIMENTICARE di revocare il vecchio accedendo alle stesse pagine sopra indicate. Si tratta di un'operazione assolutamente indispensabile. Se infatti un malintenzionato fosse venuto in possesso della vecchia chiave privata potrebbe utilizzarla per attività illecite.

Per saperne di più consultate le nostre FAQ sull'argomento