Heartbleed: fork, aggiornamenti e attacchi

Il bug che ha messo in pericolo mezza Internet spinge verso la creazione di un'alternativa. Ne frattempo le patch continuano ad accumularsi, mentre si registrano i primi attacchi

Roma – Uno degli effetti del baco Heartbleed è certamente quello di aver aperto la discussione in merito alla sicurezza dei componenti software usati per proteggere le comunicazioni SSL/TLS, una discussione che tende ad addossare alla libreria OpenSSL (e i suoi sviluppatori) ogni responsabilità e che spinge alla creazione di una piattaforma alternativa.

Una di queste possibili alternative si chiama LibreSSL , fork open source di OpenSSL realizzato dal creatore (tra le altre cose) del sistema operativo OpenBSD Theo de Raadt, con l’obiettivo specifico di ripulire la vecchia libreria del codice superfluo e quindi potenzialmente pericoloso per la sicurezza del componente.

Appena nato LibreSSL già risulta parecchio “dimagrito” rispetto a OpenSSL, con 90.000 linee di codice C in meno – la rimozione di molti delle quali era già stata preventivata dal team di OpenSSL ma non era ancora stata messa in pratica. E nonostante la cura dimagrante, spiega de Raadt, il codice di LibreSSL continua a essere compatibile a livello di API con OpenSSL e il software progettato per farne uso.

Mentre c’è chi pensa al futuro di OpenSSL, le grandi corporazioni continuano a operare per contenere le conseguenze del baco Heartbleed: Apple, che aveva inizialmente dichiarato l’immunità dei propri prodotti rispetto al problema, ha rilasciato un aggiornamento per il firmware di AirPort e Time Capsule (versione 7.7.3), dispositivi evidentemente colpiti dalla presenza del bug .

Identificare la messa in pratica di Heartbleed in un vero e proprio attacco pratico contro le infrastrutture di rete è complicato, dicono i ricercatori, ma di certo non impossibile: la società di sicurezza Mandiant sostiene di aver individuato uno di questi attacchi contro una non meglio specificata azienda, condotto entro le prime 24 ore seguite alla pubblicazione delle informazioni sul bug.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Rolo scrive:
    ogni giorno che passa...
    ...questo tizio mi sembra sempre più un coglione .
  • unaDuraLezione scrive:
    Chiede 50mila lire turche
    contenuto non disponibile
  • Leguleio scrive:
    Errore di stumpa
    " ha reso noto di non essere dispoto a cedere sulla privacy dei propri utenti "Disposto.
    • ... scrive:
      Re: Errore di stumpa
      - Scritto da: Leguleio
      " ha reso noto di non essere dispoto a cedere
      sulla privacy dei propri
      utenti "

      Disposto.Non è "stumpa"... non è per niente "stumpato" e non "puzza di inchiostro"... anzi "inchiustro" per "stumparlo" devi sempre che tu voglia procedere in locale procedendo a chiederlo alle "API" locali del tuo sfortunato OS... che provvederà (forse e eventualmente) a inoltrare la richiesta di "stumpa" all'apposito device di "stumpa"....Forse prima di darsi alla solita pratica del grammar-nazi è meglio capire che non tutti gli errori sono di "stumpa"... e comprare un vocabolario.
    • orrore di stumpa scrive:
      Re: Errore di stumpa
      - Scritto da: Leguleio
      " <I
      ha reso noto di non essere dispoto a cedere
      sulla privacy dei propri
      utenti </I
      "

      Disposto.PI è in buona compagnia con gli errori (rotfl) :D 8)peccato che il sistema non ti permette di cambiare il titolo, vero? (rotfl) :D 8)
    • Usa la Email scrive:
      Re: Errore di stumpa
      Potresti piantarla di usare il forum per le tue comunicazioni personali?Mai sentito parlare di email???
Chiudi i commenti