In GnuTLS c'è un baco o una backdoor per Linux?

Una nuova vulnerabilità fa discutere per la sua pericolosità e per il fatto di essere attiva da lungo tempo. Una condizione sospetta, visto anche il numero di prodotti e software interessati dal problema

Roma – Dopo il caso della cosiddetta vulnerabilità “gotofail” dei software Apple, una nuova falla individuata in una popolare libreria di sicurezza open source solleva polemiche a alimenta ancora una volta il sospetto che ha monopolizzato la scena della sicurezza informatica nell’era post-Datagate: è un semplice baco o è una backdoor utile per lo spionaggio della NSA?

Svelata da un advisory RedHat , la falla è presente nella libreria GnuTLS e riguarda la gestione incorretta di certi operazioni durante il processo di verifica dei certificati di sicurezza X.509 (alla base dei protocolli TLS e SSL), processi che sotto certe condizioni potrebbe portare all’accettazione di un certificato come valido anche nel caso in cui sarebbe dovuto avvenire il contrario. Le conseguenze della falla sono presto dette: un malintenzionato o una “gang” di cyber-criminali potrebbe auto-firmarsi un certificato fasullo, sfruttando poi il baco per autenticarsi come attore sicuro senza la necessità di ricorrere a una CA (Certificate Authority) valida e compromettendo la sicurezza delle comunicazioni veicolate su protocollo SSL/TLS.

Si tratta in sostanza di un problema molto simile a quello emerso nei giorni scorsi per i software Apple, e le conseguenze in questo caso sono persino più gravi visto l’alto numero di software che si affida a GnuTLS: persino gli aggiornamenti distribuiti tramite apt-get potrebbero essere vulnerabili. Le ramificazioni di questa scoperta sono molteplici, e occorrerà del tempo per stabilire con esattezza quale sia la portata: in taluni casi altre forme di protezione, come la verifica della cifratura di un pacchetto, potrebbero mitigare il rischio, ma in generale si tratta di una questione di livello critico che andrà sanata al più presto.

Il baco sarebbe in circolazione dal 2005 , dicono le prime analisi, con tanti saluti alla presunta sicurezza “superiore” del codice open source: l’errore di programmazione è molto simile a quello presente nel codice Apple, solo un po’ meno evidente, ma il risultato è pressoché identico. La patch a ogni modo è già disponibile sia per la distro Linux Red Hat che per GnuTLS.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Roinoir scrive:
    Apparenze
    Siamo sicuri che i furti non abbiano in parte o in tutto un'altra origine, o per meglio dire, un'origine comune?A chi da fastidio Bitcoin?A pensar male...
    • bubba scrive:
      Re: Apparenze
      - Scritto da: Roinoir
      Siamo sicuri che i furti non abbiano in parte o
      in tutto un'altra origine, o per meglio dire,
      un'origine
      comune?
      A chi da fastidio Bitcoin?
      A pensar male...si, e' il gombloddo del Signoraggio Mondiale Ebreo Repubblicano Dominante... la s.m.e.r.d ..
      • Manlio scrive:
        Re: Apparenze
        Negli anni '90 chi credeva all'esistenza di Echelon veniva additato come un idiota credulone teorico del gombloddo. Un'organizzazione che intercetta tutte le comunicazioni del mondo, si diceva? Ma daaai, ma per favore, ma non diciamo sciocchezze, ecc. Oggi si sa che quegli espertoni pseudosaggi (che negavano l'esistenza di Echelon) erano proprio loro dei boccaloni inconsapevoli.Perché, ad oggi, ti sembra incredibile la possibilità che una o più banche, proteggendo i loro interessi, possano provare ad affossare il Bitcoin, magari con manovre eticamente dubbie e discutibili? Dov'è la stranezza in questo semplice concetto? Non dico che sia per forza questa la verità, ma perché negare una possibilità logica e plausibile e, oltretutto, con la stessa arroganza sarcastica con cui vent'anni fa si ridicolizzavano i sostenitori dell'esistenza di Echelon? Non finirete mai di stupirmi.
        • krane scrive:
          Re: Apparenze
          - Scritto da: Manlio
          Negli anni '90 chi credeva all'esistenza di
          Echelon veniva additato come un idiota credulone
          teorico del gombloddo. Un'organizzazione che
          intercetta tutte le comunicazioni del mondo, si
          diceva? Ma daaai, ma per favore, ma non diciamo
          sciocchezze, ecc. Oggi si sa che quegli espertoni
          pseudosaggi (che negavano l'esistenza di Echelon)
          erano proprio loro dei boccaloni
          inconsapevoli.
          Perché, ad oggi, ti sembra incredibile la
          possibilità che una o più banche, proteggendo i
          loro interessi, possano provare ad affossare il
          Bitcoin, magari con manovre eticamente dubbie e
          discutibili? Dov'è la stranezza in questo
          semplice concetto? Non dico che sia per forza
          questa la verità, ma perché negare una
          possibilità logica e plausibile e, oltretutto,
          con la stessa arroganza sarcastica con cui
          vent'anni fa si ridicolizzavano i sostenitori
          dell'esistenza di Echelon? Non finirete mai di
          stupirmi.http://www.corriere.it/tecnologia/economia-digitale/14_marzo_06/bitcoin-suicidio-flexcoin-194cfdba-a516-11e3-8a4e-10b18d687a95.shtml
      • collione scrive:
        Re: Apparenze
        in genere non tendo a credere a complotti stravaganti, però quando certi eventi accadono in rapida successione, in momenti particolari, addirittura si propagano nel mondo reale http://www.corriere.it/tecnologia/economia-digitale/14_marzo_06/bitcoin-suicidio-flexcoin-194cfdba-a516-11e3-8a4e-10b18d687a95.shtmlallora qualcosa di assai strano sta accadendo
        • bubba scrive:
          Re: Apparenze
          - Scritto da: collione
          in genere non tendo a credere a complotti
          stravaganti, però quando certi eventi accadono in
          rapida successione, in momenti particolari,
          addirittura si propagano nel mondo reale
          http://www.corriere.it/tecnologia/economia-digital

          allora qualcosa di assai strano sta accadendosinceramente NON leggo niente di strano li... scammer e siti bombati ci sono ogni settimana,da almeno 2-3 anni :)dove vedi il gombloddo?
    • ospite scrive:
      Re: Apparenze
      Il problema è che questi exchange sono gestiti perlopiù da gente che fino a ieri faceva al massimo il futtivendolo (con tutto il rispetto per i fruttivendoli) e che ha trovato un modo per fare soldi facili senza alcuna responsabilità. Server messi su in una notte, software precotti, sicurezza zero, conoscenza della materia anche meno di zero e contratti che escludono qualsiasi reponsabilità del gestore.Gli Stati dovrebbero quantomeno regolare gli exchange così come vengono regolati i broker per il trading online, imponendo misure di sicurezza adeguate, assicurazioni in caso di furti e/o perdite di denaro e soprattutto responsabilità civili e penali per i gestori.
      • unaDuraLezione scrive:
        Re: Apparenze
        contenuto non disponibile
        • collione scrive:
          Re: Apparenze
          - Scritto da: unaDuraLezione
          Mtgox = 'Magic The Gathering Online eXchange',in origine era nato per la compravendita di valuta in un gioco online
          dollari. Figurati se la malavita non ci butta un
          occhio... altro che
          banche...e chi è più malavitoso dei banchieri?
          • tucumcari scrive:
            Re: Apparenze
            - Scritto da: collione
            - Scritto da: unaDuraLezione


            Mtgox = 'Magic The Gathering Online
            eXchange',

            in origine era nato per la compravendita di
            valuta in un gioco
            online


            dollari. Figurati se la malavita non ci
            butta
            un

            occhio... altro che

            banche...

            e chi è più malavitoso dei banchieri?Bella domanda!Ma non ho una risposta da darti...
          • ... scrive:
            Re: Apparenze
            sI MA POI HA SCRITTO IL SITO DI SCAMBIO IN 1 SETTIMANA, IMMAGINO LA SICUREZZA E L'ATTENZIONE AI DETTAGLI CHE CI HA MESSO
Chiudi i commenti