La Direttiva che dal 2006 impone l’obbligo di conservazione dei dati relativi alle comunicazioni dei cittadini europei è risultato di un compromesso sbilanciato: privilegia la tutela della sicurezza nel contesto europeo ma finisce per calpestare il diritto dei cittadini a non vivere asfissiati da un controllo costante, che si estende dalle comunicazioni alle reti di relazioni e agli spostamenti fisici. La Corte di Giustizia dell’Unione Europea si è espressa : la direttiva 2006/24/CE è stata invalidata.
Fin da prima della sua approvazione , quando l’Italia per una volta si muoveva in anticipo sull’Europa, salvo poi riallinearsi , la Direttiva Europea ha suscitato accesi dibattiti e proteste: l’obbligo di conservare per un minimo di 6 mesi e un massimo di due anni i dati relativi alle comunicazioni e alle sessioni online dei cittadini è subito stato tacciato da istituzioni , da esperti e dalla società civile di essere un modo per istituire delle pratiche di intercettazione di massa. Anche l’associazione di attivisti Digital Rights Ireland (DRI) si era mobilitata : aveva denunciato presso la High Court irlandese l’incostituzionalità delle leggi che il paese stava recependo su ordine dell’Europa. La denuncia di Digital Rights Ireland , insieme ad altri casi sollevati in Austria presso la Corte Costituzionale locale, intendevano dimostrare come l’obbligo di conservazione dei dati imposto agli operatori delle comunicazioni esponesse la vita privata dell’individuo ad un costante controllo: una violazione dei diritti dei cittadino che non avrebbe saputo compensare i benefici tratti dalla lotta al terrorismo e alla criminalità organizzata, a cui la data retention offre strumenti di indagine e di accertamento.
Già il parere dell’Avvocato Generale della Corte di Giustizia dell’Unione Europea Cruz Villalón, emesso nel mese di dicembre scorso, condannava la Direttiva come uno strumento di controllo del cittadino : i lunghi tempi di conservazione, la natura dei dati raccolti, la mancata regolamentazione delle pratiche di archiviazione e stoccaggio dei dati, frammentate fra i paesi membri, avevano indotto l’Avvocato Generale a suggerire una riscrittura della normativa. La Corte di Giustizia si è trovata d’accordo, dichiarando non valida la Direttiva .
In primo luogo la Corte di Giustizia esamina le prescrizioni della Direttiva e i dati che impone agli operatori di conservare, dai metadati relativi ai mittenti e ai destinatari della comunicazioni e dei loro apparecchi, passando per la loro posizione, per arrivare fino ai dati relativi agli accessi a Internet, alle email e alle conversazioni intrattenute online: l’insieme di questi record, spiega, possono fornire indicazioni assai precise sulla vita privata dei soggetti i cui dati sono conservati, come le abitudini quotidiane, i luoghi di soggiorno permanente o temporaneo, gli spostamenti giornalieri o di diversa frequenza, le attività svolte, le relazioni sociali e gli ambienti sociali frequentati”. Tutto il necessario, dunque, per consentire alle autorità di indagare sui più vari misfatti, ma anche per delineare la vita di un individuo nelle sue abitudini e nelle sue relazioni personali . Il necessario, si osservava già in uno studio condotto in Germania nel 2008, ad atterrire il cittadino più consapevole, comprimendo la sua spontaneità.
La Corte di Giustizia lo spiega a chiare lettere: la conservazione automatica dei dati perché possano essere consultati dalle autorità senza che il cittadino ne sia informato, rappresenta un’ingerenza “particolarmente grave nei i diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale” e “può ingenerare negli interessati la sensazione che la loro vita privata sia oggetto di costante sorveglianza”.
Senza dubbio, riconosce la Corte, la Direttiva sulla data retention persegue degli obiettivi condivisibili: è vero che il contenuto delle comunicazioni non è conservato, come non sono conservati i tracciati di navigazione nel rispetto della privacy del cittadino, è vero che il quadro normativo opera per un obiettivo di interesse generale quale la pubblica sicurezza . Si tratterebbe però di una questione di proporzione, e di equilibrio: nel combattere crimini e terrorismi, nel tutelare la sicurezza dell’individuo, la Direttiva non sa operare il corretto bilanciamento con l’altrettanto fondamentale diritto ad una vita privata e alla protezione dei dati personali , garantiti dall’articolo 7 e dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea, e finisce per incidere anche sulla libera manifestazione del pensiero tutelata dall’articolo 11. Per ottenere questo bilanciamento manca di fatto la regolamentazione necessaria a limitare la conservazione dei dati allo stretto necessario .
Nella Direttiva, e nei recepimenti degli stati membri, non compaiono eccezioni e differenziazioni nelle regole di conservazione, di accesso e nei tempi di conservazione dei dati, mancano i criteri che guidino le autorità nell’accesso ai dati e nel loro utilizzo , rispetto al fine perseguito e nel rispetto dei diritti del cittadino . È così che le autorità dei paesi europei possono procedere alla consultazione dei dati in caso di “reati gravi”, la cui definizione è demandata al quadro normativo del singolo stato; è così che possono agire senza il controllo di un giudice o di una autorità amministrativa indipendente , senza alcuna delimitazione di natura materiale e procedurale che sappia tutelare il cittadino.
Altro difetto della Direttiva, l’ incapacità di proteggere i database dagli abusi : agli operatori è concessa troppa discrezionalità, anche sulla base dei costi stimati per la messa in sicurezza dei dati. Si finisce così per esporre alle intrusioni dati che tanto sanno rivelare riguardo ai cittadini UE, senza garantirne la distruzione effettiva una volta terminato il periodo di conservazione e senza la possibilità di esercitare un efficace controllo sulle pratiche degli operatori, in quanto la Direttiva non prevede che i dati debbano essere conservati sul suolo dell’Unione Europea.
Sono queste le motivazioni che hanno spinto la Corte di Giustizia dell’Unione Europea a dichiarare l’invalidità della direttiva 2006/24/CE, che ha modificato la Direttiva 2002/58/CE per incardinarvi gli obblighi di “conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione”.
La soddisfazione dei cittadini europei è palpabile: dagli attivisti di Digital Rights Ireland , che festeggiano una sentenza tanto attesa, capace finalmente di “rilevare che il monitoraggio generalizzato dell’intera popolazione è inaccettabile in una società democratica”, passando per Privacy International , che sottolinea come le rivelazioni del Datagate, molte delle quali investono dati della stessa natura di quelli raccolti dall’entrata in vigore della Direttiva, abbiano finalmente smosso le coscienze. Anche la cittadina Vivian Reding, vicepresidente della Commissione Europea, manifesta il proprio assenso rimarcando la necessità di un equo bilanciamento del diritto alla sicurezza e del diritto alla protezione dei dati personali, così come il Garante privacy italiano, che in un comunicato ribadisce i rischi della conservazione dei dati di traffico senza regole adeguate.
#CJEU confirms: #security not a ‘super right’ overruling the protection of personal data. #EUDataP http://t.co/WOajE37PBd
– Viviane Reding (@VivianeRedingEU) 8 Aprile 2014
Ma questo indispensabile riequilibrio sarà un obiettivo da conquistare gradualmente. Se la stessa Commissione Europea già nel 2011 aveva gettato le basi per una revisione della Direttiva evidenziandone risultati e criticità , e se le autorità europee hanno già avviato le operazioni guidate dal Commissario Cecilia Malmström, non è chiaro cosa accadrà nell’immediato .
L’Europa ha implementato in maniera frammentata la Direttiva 2006/24/CE: alcuni stati sono stati sanzionati per non averla recepita prontamente e non è chiaro il trattamento che verrà loro riservato, alcuni stati membri come la Germania ne hanno rigettato il recepimento, così come la Repubblica Ceca, la Romania e in parte Cipro e Bulgaria. Non è altresì chiaro, dal momento che la data retention è stata ritenuta invalida così come descritta dalla Direttiva, se gli operatori potranno chiedere giustizia o rimborsi rispetto ai costi sostenuti per adeguarsi a un quadro normativo non più valido.
In questo limbo normativo, le autorità europee per ora non sembrano offrire chiarezza : “le legislazioni nazionali devono essere aggiornate solo riguardo agli aspetti che creano attriti con il quadro normativo europeo dopo la sentenza della Corte di Giustizia dell’Unione Europea. – si legge in un memo – Inoltre, una rilevazione di invalidità della Direttiva non impedisce agli stati membri di imporre la conservazione dei dati sulla base della direttiva e-Privacy (2002/58/CE)”. Non è dato sapere se il quadro normativo europeo tornerà ora a far riferimento alle vecchie prescrizioni della formulazione originale della direttiva del 2002, né quale sarà il procedimento di adeguamento che percorreranno gli stati membri.
Gaia Bottà
-
Si, ma tanto...
...non lo usa nessuno. Usano tutti GnuTLS.FDGRe: Si, ma tanto...
- Scritto da: FDG> ...non lo usa nessuno. Usano tutti GnuTLS.No no. E' proprio OpenSSL il più usato.Il software sui server come FreeBSD serie 9 che è sempre più "vecchio" (e stabile) non è vulnerabile a questo bug, che è presente solo nelle nuove release di OpenSSL. Qualsiasi versione di OpenSSL compilata senza l'estensione heartbeat è sicura (ma penso che l'abbiano tutti i build script del mondo compilato di default, quindi è improbabile ricadere in questo caso).Chi usa servizi (come https) su SSL v3 non è vulnerabile. Usare anche gli stessi servizi con TLS lo è, visto che l'errore è nell'implementazione dell'estensione heartbeat del TLS. Su quanto sia facile e come sia possibile sfruttare la vulnerabilità ancora non so' dire. Comunque apparentemente e senza dettagli tecnici, da clamore suscitato (anche un dominio aperto per la news!?) pare si tratti di una vulnerabilità notevole.FreeBSDRe: Si, ma tanto...
- Scritto da: FreeBSD> - Scritto da: FDG> > ...non lo usa nessuno. Usano tutti GnuTLS.> > No no. E' proprio OpenSSL il più usato.Tranquillo, prendo per il sedere gente che blaterava su quanto certo software fosse esente da bug e fosse irrilevante il bug di GnuTLS perché usato da nessuno...Adesso voglio vedere quando verranno qui a dire che manco questo conta... se vuoi discuterci tu... ;)FDGRe: Si, ma tanto...
> irrilevante il bug di GnuTLS> perché usato da> nessuno...Boh. Su questo sono d'accordo pure io. A parte Stallman GnuTLS non lo usa nessuno.FreeBSDRe: Si, ma tanto...
- Scritto da: FDG> Tranquillo, prendo per il sedere gente che> blaterava su quanto certo software fosse esente> da bug e fosse irrilevante il bug di GnuTLS> perché usato da> nessuno...Cosa vuol fare un utente apple ? :D :D :DE' un miracolo che non vi gettiate dal 5° piano poichè incapaci di inserire un connettore USB (rotfl) (rotfl) (rotfl),figuriamoci se potete prendere per i fondelli qualcun'altro :D> Adesso voglio vedere quando verranno qui a dire> che manco questo conta... se vuoi discuterci> tu...> ;)Hai presente l'implementazione sbagliata fatta da apple stessa e che si è presa 3-4 giorni per risolverla ? :D ,questo perchè i prodotti demenziali apple valgono eh (rotfl)EtypeRe: Si, ma tanto...
se le tue fonti sono così attendibili, allora potresti fare cosa giusta - e anche bella figura - a comunicarlo ad Arstechnica http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/e alla sua fonte, Netcrafthttp://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.htmlche indicano con la percentuale del 66% - includendo Debian Wheezy, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD e OpenSUSE - quella dei siti web che fanno tuttora uso di OpenSSL e TLS come sua implementazione.matantocosaRe: Si, ma tanto...
- Scritto da: matantocosa> se le tue fonti sono così attendibili...Era una battuta.FDGRe: Si, ma tanto...
ok ... potevi pero' mettere almeno un punto esclamativo o qualcos'altro: non avevo compreso la sottilissima ironia sta tranquillo che dovesse spuntare qualcuno a sminuire la faccenda - davvero preoccupante, imo - avranno un interlocutore in piu'matantocosaRe: Si, ma tanto...
- Scritto da: FDG> - Scritto da: matantocosa> > > se le tue fonti sono così attendibili...> > Era una battuta.Era una battuta?Vediamo allora quanto hai capito.1) nessun software è esente da bug il punto è quanto è semplice e veloce emettere un Fix.2) il Fix è già stato emesso. 3) se proprio uno volesse mantenere la versione buggata può sempre ricompilare con l'opzione -DOPENSSL_NO_HEARTBEATS.Quando potrai fare altrettanto col tuo software proprietario le tue trovate saranno legittime.tucumcariRe: Si, ma tanto...
- Scritto da: matantocosa> se le tue fonti sono così attendibili, allora> potresti fare cosa giusta - e anche bella figura> - a comunicarlo ad Arstechnica> > > http://arstechnica.com/security/2014/04/critical-c> > e alla sua fonte, Netcraft> > http://news.netcraft.com/archives/2014/04/02/april> > che indicano con la percentuale del 66% -> includendo Debian Wheezy, Ubuntu, CENTOS, Fedora,> OpenBSD, FreeBSD e OpenSUSE - quella dei siti web> che fanno tuttora uso di OpenSSL e TLS come sua> implementazione.Amico, ti mancano le basi di un 3d relativo al baco di gnutls che giustifica l'intervento di FDG :DtozzifanRe: Si, ma tanto...
- Scritto da: FDG> ...non lo usa nessuno. Usano tutti GnuTLS.Gigi l'ha scritto sulla tenda del furgone delle salamelle.Gigi luv GnuTLS.PS: La gente gli chiede cosa voglia dire ma lui fa spallucce e butta un giro per tenere quieto il popolame.maxsixRe: Si, ma tanto...
- Scritto da: FDG> ...non lo usa nessuno. Usano tutti GnuTLS.LOOOOOOOOOOOLchapeau :)Albedo 0,9chissà mai...
... se è un bug, o qualcosa voluta da NSA che poi è saltata all'occhio ed è venuta fuori.sisko212Re: chissà mai...
- Scritto da: sisko212> ... se è un bug, o qualcosa voluta da NSA che poi> è saltata all'occhio ed è venuta> fuori.È un classico problema di boundary check su una variabile, uno degli errori più comuni.Poco credibile che sia stato introdotto volontariamente.tucumcariRe: chissà mai...
Sono quelle cose come la faccia di Hello Kitty...Gli dai il significato che vuoi in base a come ti senti dentro...iRobyRe: chissà mai...
- Scritto da: iRoby> Sono quelle cose come la faccia di Hello Kitty...> > Gli dai il significato che vuoi in base a come ti> senti> dentro...Non proprio un bug del genere non è destinato a "sopravvivere"...Se vuoi metterci qualcosa che "possa sopravvivere" devi cercare qualcosa di molto più "nascosto".E molto meno "diretto".tucumcariRe: chissà mai...
- Scritto da: tucumcari> È un classico problema di boundary check su una> variabile, uno degli errori più comuni.> Poco credibile che sia stato introdotto> volontariamente.Questo è il DIFF del COMMIT che ha introdotto l'errore.https://github.com/openssl/openssl/commit/4817504d069b4c5082161b02a22116ad75f822b1Il "cuore" dell'errore comincia alla riga 1456 di ssl/d1_both.cTroppo grezzo per essere voluto. E' passato a causa dell'assenza di unit test (stessa ragione del famoso bug apple) e cattivo lavoro del revisore (secondo il git un certo steve).-----------------------------------------------------------Modificato dall' autore il 08 aprile 2014 20.11-----------------------------------------------------------bradipaoRe: chissà mai...
- Scritto da: bradipao> Troppo grezzo per essere voluto. E' passato a> causa dell'assenza di unit test (stessa ragione> del famoso bug apple) e cattivo lavoro del> revisore (secondo il git un certo steve).Finalmente un argomento interessante.FDGRe: Si, ma tanto...
- Scritto da: FDG> - Scritto da: tucumcari> > > > Abbiamo fatto una scoperta?> > Casomai la hai fatta tu.> > Nessuno ha mai sostenuto l'esistenza di un> > software esente da bug.> > Applausi.> > Adesso voglio vedere quando ci converrà> dimenticare questo> fatto.Te la canti e te la suoni?Noi invece vorremmo vedere un link a un post dove si sostenga che il software open è esente da bug.In mancanza possiamo sempre ricordarci che i troll se la cantano e se la suonano piuttosto abitualmente. > > > > E non c'entra nulla.> > Non c'entra nulla la tua trovata.> > Non hai seguito la discussione...La ho seguita.Il problema vedi è che manca proprio chi sostenga la tesi (ovvero che il software open è Esente da bug).È piuttosto semplice.tucumcariRe: Si, ma tanto...
> La ho seguita.Qui ci vuole Collione.Lui sa interpretare questi postulati in modo corretto.maxsixRe: Si, ma tanto...
- Scritto da: maxsix> > La ho seguita.> > Qui ci vuole Collione.Abbiamo già te. :DSiamo al toptucumcariRe: Si, ma tanto...
- Scritto da: tucumcari> Il problema vedi è che manca proprio chi sostenga> la tesi (ovvero che il software open è Esente da> bug).TUTTO il software ha bug.E comunque non sei tu il problema.p.s.: vedo che hai smesso di ridacchiare.-----------------------------------------------------------Modificato dall' autore il 08 aprile 2014 22.54-----------------------------------------------------------FDGRe: Si, ma tanto...
- Scritto da: FDG> - Scritto da: tucumcari> > > Il problema vedi è che manca proprio chi> sostenga> > la tesi (ovvero che il software open è> Esente> da> > bug).> > TUTTO il software ha bug.> > E comunque non sei tu il problema.E chi è il "problema"?Ripeto vorremmo un link a un post dove si evidenzia "il problema"... ovvero dove si sostenga che il software open non ha bug!Io non ne ho mai visto e tu?Ora... i casi sono 2 due o è vero che tali post esistono e tu sei in grado di provarlo oppure sei un troll che se la canta e se la suona. :DNon è complicato eh...(rotfl)(rotfl)tucumcariRe: Si, ma tanto...
- Scritto da: tucumcari> ...Setti, ti sei perso qualche puntata precedente e non sai di che si parla.Ciao.-----------------------------------------------------------Modificato dall' autore il 09 aprile 2014 12.09-----------------------------------------------------------FDGDov'e' panda rossa?
Uno degli esperti di punto-informatico, che dice che l'unico software vulnerabile e' fatto da Microsoft... e che Linux e' BugFree (R)(C)combobreake rRe: Dov'e' panda rossa?
- Scritto da: combobreake r> Uno degli esperti di punto-informatico, che dice> che l'unico software vulnerabile e' fatto da> Microsoft... e che Linux e' BugFree> (R)(C)Sicuro? Mai visto post di panda rossa che sostenessero questa tesi. Hai un link?tucumcariRe: Dov'e' panda rossa?
- Scritto da: tucumcari> Sicuro? > Mai visto post di panda rossa che sostenessero> questa tesi.> > Hai un link?Dai, però non si può negare un certo atteggiamento di superiorità...p.s.: ho qui giusto una confermahttp://punto-informatico.it/b.aspx?i=4026571&m=4027119#p4027119-----------------------------------------------------------Modificato dall' autore il 08 aprile 2014 22.58-----------------------------------------------------------FDGRe: Dov'e' panda rossa?
- Scritto da: FDG> - Scritto da: tucumcari> > > Sicuro? > > Mai visto post di panda rossa che> sostenessero> > questa tesi.> > > > Hai un link?> > Dai, però non si può negare un certo> atteggiamento di> superiorità...> > p.s.: ho qui giusto una conferma> http://punto-informatico.it/b.aspx?i=4026571&m=402Certo.Superiorita' dovuta al fatto che io so perfettamente come funziona la communuty, per averci contribuito per anni, e pure come funziona il software commerciale, visto che sono circondato da societa' di consulenza informatica composte da ottimi tecnici ma commerciali incapaci.panda rossaRe: Dov'e' panda rossa?
Dove è PR? A patchare i suoi serverXp the endRe: Dov'e' panda rossa?
- Scritto da: Xp the end> Dove è PR? A patchare i suoi serverA fare cosa?lollomaxsixRe: Dov'e' panda rossa?
Detto da un appliano che ha persino difficoltà ad azzeccare il verso di un connettore USB la cosa fa ridere :DEtypeRe: Dov'e' panda rossa?
- Scritto da: Xp the end> Dove è PR? A patchare i suoi serverA differenza vostra, io all'ora di cena mangio, e dopo cena trombo.I miei server mi aspetto che per domattina siano perfettamente patchati e neppure mi preoccupo, a differenza dei winari che ad ogni richiesta di riavvio dopo gli aggiornamenti, tremano e sudano freddo.panda rossaRe: Dov'e' panda rossa?
> > I miei server mi aspetto che per domattina siano> perfettamente patchati e neppure mi preoccupo, a> differenza dei winari che ad ogni richiesta di> riavvio dopo gli aggiornamenti, tremano e sudano> freddo.I tuoi server sono già stati patchati l'altro ieri, prima che la cosa sia stata resa pubblica :https://www.debian.org/security/2014/dsa-2896QueloRe: Dov'e' panda rossa?
Trombi o te lo prendi nel ..... ?? visto che in OPEN passano cani e porci senza neppure lasciare traccia (forse ti ingroppano e neanche te ne accorgi).pr free zoneRe: Dov'e' panda rossa?
- Scritto da: panda rossa> - Scritto da: Xp the end> > Dove è PR? A patchare i suoi server> > A differenza vostra, io all'ora di cena mangio, e> dopo cena> trombo.> alle 21.09 avevi già finito? in tempo per il film su rete 4 insomma> I miei server mi aspetto che per domattina siano> perfettamente patchati e neppure mi preoccupo, a> differenza dei winari che ad ogni richiesta di> riavvio dopo gli aggiornamenti, tremano e sudano> freddo.pensa invece che io lavoro per decine di aziende dove i server linux, dove gira software di altri fornitori, è vietato toccarli. Non parliamo di quelli dove c'è sopra oracle, vietato accedere. Nel 2007 per un upgrade hanno fermato un'azienda, non hanno neppure risolto, sono tornati alla versione precedente di non so cosa. Per fortuna tu applichi la patch.sparalaRe: Dov'e' panda rossa?
- Scritto da: panda rossa> A differenza vostra, io all'ora di cena mangio, e> dopo cena> trombo.(rotfl)(rotfl) Eccolo lì il ragazzino """tosto""!"Ehilà pezzenti, trombo come un drago ehehehehe"ridicoloVediamo di precisa meglio ...
Innanzi tutto dire che CloudFlare fa "ampio uso di OpenSSL" è abbastanza ovvio, visto che tra l'altro sono alla base del mod_ssl di Apache che è il web server più usato al mondo.Questo rende la cosa terribilmente grave perché non sono un pezzo di software sconosciuto usato da quattro cantinari, ma librerie essenziali per la protezione di milioni di server in tutto il mondo, poi bisgogna vedere in che versioni e in che modalità.In ogni caso una affermazione tipo : "CloudFlare ha già chiuso la falla nel codice adottato sui suoi server, mentre per la versione pubblica di OpenSSL si attende la release 1.0.2 (e precisamente la 1.0.2-beta2) per risolvere la questione in maniera definitiva." fa quasi sembrare che CloudFlare abbia scoperto la falla, l'abbia resa pubblica e poi si sia tenuta per lei il codice. Ciò è assurdo, come ovvio la falla è stata chiusa prima della pubblicazione ufficiale, su tutte le distribuzioni e per esempio su Debian è partito l'auto update delle liberie due notti fa (quando ho letto poi ho capito il perché).Questo è il comunicato ufficiale :http://www.debian.org/security/2014/dsa-2896Resta il dubbio se il consumare enormi quantità di birra da parte di chi programma l'open source, non incominci a comportare serie conseguenze, visto che le OpenSSL che dovrebbero essere il software più sicuro in assoluto, si stanno rivelando una roba folle.Per altro dato il loro largo ed essenziale uso, qualche azienda magari potrebbe anche pensare ad una seria reingegnerizzazione.QueloRe: Vediamo di precisa meglio ...
- Scritto da: Quelo> > Resta il dubbio se il consumare enormi quantità> di birra da parte di chi programma l'open source,> non incominci a comportare serie conseguenze,Sentiti pure libero di partecipare ai progetti, dando il tuo contributo di sobrieta'.> visto che le OpenSSL che dovrebbero essere il> software più sicuro in assoluto, si stanno> rivelando una roba folle.I sorgenti sono sul sito. Le istruzioni per l'uso anche.L'open source non e' M$ dove l'unico modo che hai per risolvere i problemi e' lamentarti.Qui puoi fare qualcosa di attivo.Analizza i sorgenti, testali, contribuisci.Se preferisci mugugnare e aspettare che altri risolvano i tuoi problemi, M$ e' la' che ti aspetta, e la NSA subito dietro.> Per altro dato il loro largo ed essenziale uso,> qualche azienda magari potrebbe anche pensare ad> una seria reingegnerizzazione.Che lo facessero. Nessuno lo proibisce.Tutti bravi qui ad aspettare la pappa pronta gratis e poi lamentarsi se manca il sale.panda rossaRe: Vediamo di precisa meglio ...
- Scritto da: panda rossa> - Scritto da: Quelo> > > visto che le OpenSSL che dovrebbero essere il> > software più sicuro in assoluto, si stanno> > rivelando una roba folle.> > I sorgenti sono sul sito. Le istruzioni per l'uso> anche.> L'open source non e' M$ dove l'unico modo che hai> per risolvere i problemi e'> lamentarti.Quelli che tolgono le protezioni al sistema operativo non hanno bisogno dei sorgenti, eppure lo fanno...2014Re: Vediamo di precisa meglio ...
- Scritto da: 2014> Quelli che tolgono le protezioni al sistema> operativo non hanno bisogno dei sorgenti, eppure> lo fanno...Già, i sorgenti sono un di più, ma non sono necessari.Il valore dei sorgenti aperti è altrove, cioè nello sviluppo comunitario.FDGRe: Vediamo di precisa meglio ...
- Scritto da: 2014> Quelli che tolgono le protezioni al sistema> operativo non hanno bisogno dei sorgenti, eppure> lo> fanno...appuntoi cattivi non hanno bisogno dei sorgenti per bucarti, i buoni ne hanno bisogno per scovare con facilità le falle e patcharlecollioneRe: Vediamo di precisa meglio ...
> Sentiti pure libero di partecipare ai progetti,> dando il tuo contributo di> sobrieta'.Bravo ! Per completare il discorso inutile magari ci stava anche un bel RTFM o meglio RTFL (dove L sta per licenza).Prima un bambino fa passare valgrind e scopre un bug di garbage, che bug non era. però non era documentato ma del resto, che farsene delle documentazione se c'è già il sorgente ? Eh già !Adesso dovete rifare tutte le chiavi perché si scopre un bachetto che distribuiva le vostre private a cani e porci.E alla fine salta fuori che la colpa è mia perché non collaboro al progetto, mentre tutti quelli che vendono soluzioni o addirittura server con Linux, basando l'intero business sul lavoro fatto da questi poveri disgraziati, non si degnano di creare un Secure Socket Layer serio e preferiscono vendere server più bucati del groviera.Bravi bravi ...QueloRe: Vediamo di precisa meglio ...
- Scritto da: Quelo> > Sentiti pure libero di partecipare ai progetti,> > dando il tuo contributo di> > sobrieta'.> > Bravo ! Per completare il discorso inutile magari> ci stava anche un bel RTFM o meglio RTFL (dove L> sta per> licenza).> > Prima un bambino fa passare valgrind e scopre un> bug di garbage, che bug non era. però non era> documentato ma del resto, che farsene delle> documentazione se c'è già il sorgente ? Eh già> !> > Adesso dovete rifare tutte le chiavi perché si> scopre un bachetto che distribuiva le vostre> private a cani e> porci.> > E alla fine salta fuori che la colpa è mia perché> non collaboro al progetto,Nessuno attribuisce colpe.Ti si chiede solo di NON LAMENTARTI perche' non ne hai motivo.> mentre tutti quelli> che vendono soluzioni o addirittura server con> Linux, basando l'intero business sul lavoro fatto> da questi poveri disgraziati, Se c'e' qualcuno che vende, vuol dire che c'e' qualcuno che compra.Tu sei quello che compra?Tu hai preferito pagare per qualcosa che potevi avere gratis?> non si degnano di> creare un Secure Socket Layer serio e> preferiscono vendere server più bucati del> groviera.Ripeto: se qualcuno vende, qualcuno compra.Tu hai comprato?E' stata una tua libera scelta o ti ci hanno costretto con pistola alla tempia?panda rossaRe: Vediamo di precisa meglio ...
- Scritto da: Quelo> > Sentiti pure libero di partecipare ai progetti,> > dando il tuo contributo di> > sobrieta'.> > Bravo ! Per completare il discorso inutile magari> ci stava anche un bel RTFM o meglio RTFL (dove L> sta per> licenza).> > Prima un bambino fa passare valgrind e scopre un> bug di garbage, che bug non era. però non era> documentato ma del resto, che farsene delle> documentazione se c'è già il sorgente ? Eh già> !> > Adesso dovete rifare tutte le chiavi perché si> scopre un bachetto che distribuiva le vostre> private a cani e> porci.> > E alla fine salta fuori che la colpa è mia perché> non collaboro al progetto, mentre tutti quelli> che vendono soluzioni o addirittura server con> Linux, basando l'intero business sul lavoro fatto> da questi poveri disgraziati, non si degnano di> creare un Secure Socket Layer serio e> preferiscono vendere server più bucati del> groviera.> > Bravi bravi ...E quindi?Dove vuoi mettere la colpa, ai costruttori del ferro, o ai sviluppatori dell'OS.O a nessuno dei due.O a entrambi.Definisci meglio.maxsixapt-get update && apt-get upgrade
È sufficiente scrivere in un terminale qualsiasi"apt-get update && apt-get upgrade" e tre minuti dopo il problema scompare se è esistitoFabrizioRe: apt-get update && apt-get upgrade
Ma non c'è neanche bisogno di "apt-get update && apt-get upgrade" visto che la patch arriva in automatico (se hai i repository abilitati).Alvaro Vitalifacciamo l'articolo release v2
(avevo intenzione di farlo dopo pranzo in realta'... passati un po dei soliti post macachi... ma poi mi e' passata la voglia :) cmq mini riassunto)- bug scoperto dal team Codenomicon mentre usava la sua fuzzer suite e /separatamente/ da Neel Mehta del Google Security, che li ha anticipati reportando ad Openssl. Solito giro cve [CVE-2014-0160],cert,vendor e il 7 e' arrivata la patch & advisory- bugo introdotto nel dic 2011 https://github.com/openssl/openssl/commit/4817504d069b4c5082161b02a22116ad75f822b1- e' un crudo problema di boundary check, che ti permette di 'dumparti' segmenti di memoria (aka MOLTO grave) a ogni richiesta di tls heartbeat- da "subito" il Codenomicon ha creato http://heartbleed.com/, che descrive in dettaglio (ma "per umani") l'impatto della vuln.- "rapidamente" arrivano 'flussi' di informazioni e test... (es: https://news.ycombinator.com/item?id=7548468 )Di rilievo il nostrano filippo ( https://twitter.com/FiloSottile ) che rapidamente ha creato (e smanettato tutto il giorno per tener su) il tester (coi src) http://filippo.io/Heartbleed/Si segnala anche http://possible.lv/tools/hb/?domain= e poi a ruota tanti altri (es: https://gist.github.com/sh1n0b1/10100394 )( per vedere solo se heartbeat e' attivo bastava unecho -e "quitn" | openssl s_client -connect server.com:443 -tlsextdebug 2>&1 | grep heartbeat )Ovviamente anche sw evil oriented non e' mancato ... es: https://gist.github.com/takeshixx/10107280- 3/4 tips : NON e' un problema di implementazione della crittografia (in un certo senso e' peggio)il chopchop si svolge durante l'handshake : cambiare cert o disabilitare feature sulla ver incriminata non aiuta. Va ricompilato senza heartbeat o fixatoRiguarda il pkg openssl, QUINDI anche chi fa uso di mod_ssl.so (che dipende dalla libssl.so.1.x ), ecc nei loro server quali che siano (xmpp, pop3s, apache ecc)Tenere conto anche di rogne impreviste ( supporto a mod_spdy x es https://code.google.com/p/mod-spdy/issues/detail?id=85 )Fixata la vuln, NEL DUBBIO sia gia stato dumpate chiavi o credenziali, andrebbero buttati i cert e rigeneratiSi prevedono impennate di traffico ssl :P tunare i propri IDS...bubbaRe: facciamo l'articolo release v2
capisco, ma perchè hai scritto /separatamente/ fra barre e 'flussi' fra apici? Sopratutto e' invece di è. Insomma, non credo che farai colpo su nessuno per il tuo modo di scrivere ne ti da un'aria più professionale. Certo una persona che scrive così fa un po ridere e questo metter certo di buon umore, ma non credo fosse quello che volevi.Nome e cognomeRe: facciamo l'articolo release v2
- Scritto da: Nome e cognome> capisco, ma perchè hai scritto /separatamente/> fra barre e 'flussi' fra apici? Sopratutto e'> invece di è. Insomma, non credo che farai colpo> su nessuno per il tuo modo di scrivere ne ti da> un'aria più professionale. Certo una persona che> scrive così fa un po ridere e questo metter certo> di buon umore, ma non credo fosse quello che> volevi.La tua domanda evidenzia la tua totale ignoranza in termini di comunicazione scritta in ascii-7/italics/*bold*_underline_e gli accenti, in ascii-7 non si usano.panda rossaRe: facciamo l'articolo release v2
- Scritto da: panda rossa> La tua domanda evidenzia la tua totale ignoranza> in termini di comunicazione scritta in> ascii-7> > /italics/> *bold*> _underline_> > e gli accenti, in ascii-7 non si usano.Siamo nel 2014 e tutti i browser supportano unicode. あFDGRe: facciamo l'articolo release v2
- Scritto da: Nome e cognome> capisco, ma perchè hai scritto /separatamente/> fra barre e 'flussi' fra apici? Sopratutto e'> invece di è. Insomma, non credo che farai colpo> su nessuno per il tuo modo di scrivere ne ti da> un'aria più professionale. Certo una persona che> scrive così fa un po ridere e questo metter certo> di buon umore, ma non credo fosse quello che> volevi.Il tuo contributo alla discussione sarebbe?FunzRe: facciamo l'articolo release v2
- Scritto da: Funz> - Scritto da: Nome e cognome> > capisco, ma perchè hai scritto> /separatamente/> > fra barre e 'flussi' fra apici? Sopratutto e'> > invece di è. Insomma, non credo che farai> colpo> > su nessuno per il tuo modo di scrivere ne ti> da> > un'aria più professionale. Certo una persona> che> > scrive così fa un po ridere e questo metter> certo> > di buon umore, ma non credo fosse quello che> > volevi.> > Il tuo contributo alla discussione sarebbe?Farci sapere che il suo client non e' in grado di interpretare una parola tra /slash/ e renderla in italics.panda rossaPaypal?
Che voi sappiate Paypal usa OpenSSL?DasheRe: Paypal?
- Scritto da: Dashe> Che voi sappiate Paypal usa OpenSSL?probabilecollioneRe: Paypal?
pare non essere vulnerabilehttps://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txtpuoi provarlo direttamente qui http://filippo.io/Heartbleed/mcmcmcmcmcRe: Paypal?
- Scritto da: mcmcmcmcmc> pare non essere vulnerabile> https://github.com/musalbas/heartbleed-masstest/bl> > puoi provarlo direttamente qui> http://filippo.io/Heartbleed/ottimo belink graziecose nuoveSu che siti va cambiata la password ?
Su che siti va cambiata la password ?user_Re: Su che siti va cambiata la password ?
- Scritto da: user_> Su che siti va cambiata la password ?Tutti.maxsixRe: Su che siti va cambiata la password ?
- Scritto da: maxsix> - Scritto da: user_> > Su che siti va cambiata la password ?> > Tutti.Tutti e nessuno.user_Re: Su che siti va cambiata la password ?
Conviene comunque aspettare qualche giorno.stronzoloPandino in difficoltà
http://punto-informatico.it/b.aspx?i=4026571&m=4027288#p4027288Hai tutta la mia solidarietà in questo momento difficile.Invito tutti domani a 10 secondi di fermo tastiera e lutto al braccio.Perché gli amici si vedono nel momento del bisogno.maxsixBasta un browser aggiornato
Saluti.BarbaTruthRe: Basta un browser aggiornato
per fare che? per non dover cambiare più le password dei nostri account sui siti ?user_Re: Basta un browser aggiornato
- Scritto da: user_> per fare che? per non dover cambiare più le> password dei nostri account sui siti> ?In realtà dipende... sia dai siti sia dal fatto che il browser usi (o non usi) "Openssl Heartbeat"...Qualche anima pia ha messo in giro un test di vulnerabilità...http://s3.jspenguin.org/ssltest.pyehttp://filippo.io/Heartbleed/tucumcariztxChbrpRb
http://benicarhct.tk/generic-benicar.html#6172 how much does benicar cost,RBpWOOIQGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiGaia Bottà 08 04 2014
Ti potrebbe interessare