Overblog Segui questo blog
Edit post Administration Create my blog
23 aprile 2014 3 23 /04 /aprile /2014 22:11

Heartbleed-refresh

Uno degli effetti del baco Heartbleed è certamente quello di aver aperto la discussione in merito alla sicurezza dei componenti software usati per proteggere le comunicazioni SSL/TLS, una discussione che tende ad addossare alla libreria OpenSSL (e i suoi sviluppatori) ogni responsabilità e che spinge alla creazione di una piattaforma alternativa.

Una di queste possibili alternative si chiama LibreSSL, fork open source di OpenSSL realizzato dal creatore (tra le altre cose) del sistema operativo OpenBSD Theo de Raadt, con l'obiettivo specifico di ripulire la vecchia libreria del codice superfluo e quindi potenzialmente pericoloso per la sicurezza del componente.

Appena nato LibreSSL già risulta parecchio "dimagrito" rispetto a OpenSSL, con 90.000 linee di codice C in meno - la rimozione di molti delle quali era già stata preventivata dal team di OpenSSL ma non era ancora stata messa in pratica. E nonostante la cura dimagrante, spiega de Raadt, il codice di LibreSSL continua a essere compatibile a livello di API con OpenSSL e il software progettato per farne uso.Mentre c'è chi pensa al futuro di OpenSSL, le grandi corporazioni continuano a operare per contenere le conseguenze del baco Heartbleed: Apple, che aveva inizialmente dichiarato l'immunità dei propri prodotti rispetto al problema, ha rilasciato un aggiornamento per il firmware di AirPort e Time Capsule (versione 7.7.3), dispositivi evidentemente colpiti dalla presenza del bug.

Identificare la messa in pratica di Heartbleed in un vero e proprio attacco pratico contro le infrastrutture di rete è complicato, dicono i ricercatori, ma di certo non impossibile: la società di sicurezza Mandiant sostiene di aver individuato uno di questi attacchi contro una non meglio specificata azienda, condotto entro le prime 24 ore seguite alla pubblicazione delle informazioni sul bug.

Android colpito da Heartbleed, arriva la prima conferma:  Trend Micro, leader globale nella sicurezza per il cloud, ha stabilito che la versione la versione 4.1.1 è stata colpita direttamente dal baco di Internet.

Se siete fra coloro che usano questa versione del sistema operativo di Google, dovete sapere che tutte le app installate con OpenSSL utilizzato per stabilire le connessioni SSL/TLS- sono possibilmente infette e possono essere compromesse per ottenere informazioni sensibili dei proprietari.

Ma il problema delle app rimane anche se non utilizzate Android 4.1.1,sono circa 273 le app colpite presenti su Google Play.

La buona notizia, se non altro, era che i server Apple non risultavano soggetti al problema, ma questo non significa che non lo fossero altri prodotti con la mela. È il caso delle Airport Extreme e delle Ariport Express, che infatti hanno ricevuto un bell’aggiornamento firmware proprio a causa di Heartbleed. AirPort Base Station Firmware Update 7.7.3 apporta una serie di migliorie sulla gestione di SSL/TLS, ed ecco perché se ne consiglia l’installazione al più presto per tutti gli utenti. La pagina relativa all’update, per il momento non ancora tradotta in italiano, recita:

AirPort Base Station Firmware Update 7.7.3
Disponibile per: AirPort Extreme e AirPort Time Capsule con 802.11ac

 

Impatto: un malintenzionato in posizione privilegiata sul network potrebbe ottenere i contenuti della memoria.
Descrizione: Nella libreria OpenSSL esiste un problema durante la gestione dei pacchetti con estensione heartbeat TLS. Questo problema è stato risolto attraverso ulteriori verifiche di sicurezza. Solo le basi AirPort Extreme ed AirPort Time Capsule con 802.11ac soffrono della vulnerabilità, e solo se Back to My Mac e Invia Diagnostica sono abilitati. Altre basi AirPort non sono affette.

Il che vuol dire che non dovete preoccuparvi se Utility Airport non segnala alcun aggiornamento di rilievo; evidentemente, possedete modelli di router Apple che non dispongono del protocollo 802.11ac. Per maggiori informazioni sull’argomento, potete consultare l’articolo tecnico pubblicato sul sito Apple.

Non dimenticate di scaricare la Blogo App, per essere sempre aggiornati sui nostri contenuti. E’ disponibile su App Store e su Google Play ed è gratuita.

http://www.wired.it/topic/heartbleed/

http://punto-informatico.it/4038665/PI/News/heartbleed-fork-aggiornamenti-attacchi.aspx

http://www.melablog.it/post/133891/heartbleed-disponibili-airport-extreme-e-time-capsule-firmware-update-7-7-3

Condividi post

Repost 0
Published by il conte rovescio - in virus informatici
scrivi un commento

commenti

 FORUM

Cerca

VIDEO IN EVIDENZA

http://www.loguardoconte.info/video/esperimenti-umani-condotti-da-alieni-154833/

Testo Libero

statistiche accessi

IL CONTE E IL DUCA

 

      thumbnail

 http://i.imgur.com/53qQJ.jpg