[AGGIORNATO] HeartBleed, onestamente mi ha stancato! Considerazioni personali…

OpenSSL HeartBeat

, mi sono stancato di leggere idiozie su l’importante bug HeartBleed che va esclusivamente a colpire il morale degli sviluppatori e il sacrificio che sta dietro al mondo Open Source! Quotidiani che affermano “Allarme per il virus scassinatore, in pericolo milioni di siti internet” dovrebbero solo vergognarsi di mandare in stampa certe stupidaggini, se giustamente volete scrivere un articolo sul tema interpellate un ricercatore o un docente ma evitate di farvi ridere dietro dalla comunità ma soprattutto di mettere fango su un gruppo di sviluppatori che lavorano GRATIS!

Esatto, GRATIS! OpenSSL è un’implementazione open source dei protocolli SSL e TLS ed oltre ad essere Open è anche Freeware e il team principale è composto da quattro persone che per pura volontà personale scrivono questo programma usato da oltre il 60% dei siti web che hanno implementato il protocollo SSL. Sì è proprio così loro hanno deciso di DONARE un software meraviglioso per proteggere i nostri dati e grandi multinazionali come Facebook, Google, ecc ecc le usano per ricavarci DENARO ma appena viene rilevato un bug tutti se ne lavano le mani e puntano il dito verso quattro volenterosi ragazzi!

Io e tre amici decidiamo di fare un gesto importante, partiamo per una missione volontaria nel paese X dove è in corso una sanguinosa guerra e il nostro scopo è quello di salvare più vite umane possibili. Ma purtroppo una mina anticarro colpisce un pullman pieno di superstiti e tutti muoiono! Cosa avete pensato?! “Bhe che bravi ragazzi, hanno impiegato tutto il loro tempo e le loro forze ma purtroppo il male ha prevalso sulla loro umile azione.”!

Capite il paragone?! In questa vicenda si è ribaltato TUTTO, il “male” non è stato neanche considerato ma si è solo pensato ad incolpare un team che ha agito fin dall’inizio per uno scopo ben preciso: DIFENDERE I VOSTRI DATI!

Le persone del Team lavorano per potersi mantenere, per pagare il mutuo e magari anche qualche regalino e nel tempo libero sviluppano e implementano OpenSSL. Perché le grandi multinazionali che usano OpenSSL non hanno mai contribuito al progetto? Nel ventunesimo secolo finalmente si sta scoprendo l’OpenSource, a livello governativo viene imposto l’uso di software Open e Free piuttosto che software a pagamento, a livello didattico ugual modo…ma qualcuno ci pensa al sostentamento di tali progetti?! C’è sempre dietro un essere umano ad un programma Open e Free che ha sicuramente bisogno di mangiare! Oltre a divulgare l’Open dobbiamo imparare a diffondere l’idea che l’Open è un bellissimo regalo ma va corrisposto!

OpenSSL è un esempio ma ne potrei trovare tantissimi, basta guardare su GitHub le repository più in voga o pensare semplicemente al vostro sistema operativo Linux…Mint…Ubuntu…e se pensiamo ai sistemi Server? CentOS, RedHat…certo sono grossi colossi che grazie all’assistenza ai clienti possono permettersi di pagare gli sviluppatori ma comunque ci offrono un OTTIMO prodotto gratuito e una donazione gli sarebbe dovuta!

Ma ora vediamo realmente di cosa dobbiamo preoccuparci? Tutte le nostre password, eMail, carte di credito sono state realmente rubate dai siti internet che usano OpenSSL! NO! Per tutti i siti Internet che non cifrano le comunicazioni lato client è possibile che durante la comunicazione client/server i tuoi dati siano stati rubati.

Essenzialmente la prima cosa da fare è di accertarsi che il sito internet che usate abbia aggiornato OpenSSL,  successivamente cambiate la vostra password, eseguite un logout dal sito ed effettuate un nuovo accesso, “distruggendo” i vecchi cookie precedentemente creati! Eventualmente potete anche cambiare la vostra password, ma le password quasi sempre vengono cifrate prima di essere trasmesse/elaborate e se venissero lette dalla memoria sfruttando l’Exploit difficilmente lo sarebbero in chiaro.

Impariamo ad aiutare chi ci offre gratuitamente qualcosa!

  • Iperzampem0

    Ottima analisi! 😉
    Peccato per la disinformazione che va a crearsi in queste situazioni particolari..

  • Ivan

    Ciao Andrea,
    sono totalmente d’accordo con te!
    tanto rumore per nulla perché semplicemente, nota la vulnerabilità basta disabilitare la funzione heartbleed, in attesa della patch correttiva che nelle distribuzioni “open” è avvenuto subitaneamente.
    Tra l’altro ogni sistemista o operatore addetto dovrebbe sapere che è buona norma disabilitare le features non utilizzate di default.
    Tanta ignoranza da una parte e troppa superficialità voluta dall’altra…d’altronde nel mondo “non open” è pieno di vulnerabilità e ti fanno pagare i loro prodotti a peso d’oro…ma per favore!!
    Ivan

  • sergio ravera

    Ciao a tutti! A mio avviso invece non è da non considerare … password rubate? è facile che questo sia avvenuto su parecchi siti.
    Anche se fossero una minima parte sono comunque potenzialmente
    tantissimi. Sloggarsi e cancellare i cookie non serve a nulla. Bisogna invece aggiornare la libreria e procedere alla rigenerazione dei certificati SSL (lato provider); lato user si devono cambiare le password!

  • j.buchanan

    ciao! sinceramente dai siti da cui mi informo non ho notato questo accanimento contro gli sviluppatori di openssl, anzi, la figura barbina l’ha fatta l’NSA che sapeva del bug e zitta zitta ne ha approfittato. sicuramente c’è chi ne avrà parlato male ma i grossi tipo bloomberg (uno a caso) non mi pare ne parli con malizia.
    IMHO

  • Riccardo Grosso

    Concordo su tutta la linea 🙂

  • Christian

    Concordo col tuo parere, ma calcherei la mano non tanto sui media generalisti, che non fanno altro che fare da megafono per una situazioni di cui non capiscono tutti i retroscena tecnici, quanto sui media specializzati (blog, siti e riviste del settore) che dovrebbero avere un po’ più di competenza, e quindi capire bene quale sia la vera portata della minaccia, le sue ripercussioni e la sua reale pericolosità, ma che da qualche settimana si limitano a rilanciare la notizia, ogni volta gonfiandola un po’ di più per attirare lettori

  • freecris

    Scusa, ma ci sono delle inesattezze.
    Soprassiedo sulla povera descrizione dell’opensource e sui 4 sviluppatori che lavorano gratis.

    Quello su cui però c’è bisogno di maggior precisione è la parte:
    “Tutte le nostre password, eMail, carte di credito sono state realmente rubate dai siti internet che usano OpenSSL! NO!”
    “le password quasi sempre vengono cifrate prima di essere trasmesse”

    Sul primo punto: basta che UNA tua password venga rubata da UN servizio e quel tuo account diventa vulnerabile. Considerando che molti usano una password uguale per tutti allora diventa un disastro, perché *devi* cambiarle tutte.
    Secondo punto: “quasi sempre” è una fesseria. Ci sono *alcuni* siti che lo fanno. I maggiori non lo fanno. Questo stesso sito, dove stiamo scrivendo, non lo fa.
    La cifratura è fatta *sulla comunicazione* verso i server (ed è appunto quella vulnerabile), ma nella memoria del mio browser e in quella del server sono assolutamente in chiaro (in seguito, si spera, vengono cifrate prima di essere salvate in un db).

    Quindi capisco (e condivido) il tuo pensiero, ma se non avessi dato delle informazioni così importanti sbagliate sarebbe stato meglio. Ma dopotutto, sul Titanic, si continuava a ballare…