Heartbleed, una delle più grandi falle nella sicurezza della Rete.

Heartbleed è il nome assegnato a una vulnerabilità “zero day” che riguarda OpenSSL, il sistema per criptare le comunicazioni in Internet usato da oltre due terzi dei siti web mondiali, e permette il furto di password e dati sensibili; fino ad oggi considerato uno dei sistemi più sicuri. Ecco tutto quello che c’è da sapere…

Aggiornamento alla mattina del 10 aprile: si consiglia di cambiare password, anche solo a titolo precauzionale, agli account sui siti di Google, Facebook, Yahoo, Tumblr, Dropbox, che hanno già riparato la falla. Su Mashable una lista con spiegazione dettagliata di dove e perché cambiare password, PayPal invece sostiene di non essere stata affetta e che gli utenti non dovrebbero neppure cambiare password (operazione che comunque è sempre consigliabile, ma assicuratevi prima che il servizio in questione abbia chiuso la falla).

Vanno anche aggiornati i software dei wallet e cambiate le password di molti servizi Bitcoin. LocalBitcoins, Blockchain.info, Bitfinex hanno chiuso la falla. Bitstamp aveva sospeso le operazioni, e ora le ha riaperte.

Più che un cuore sanguinante è una carneficina. Heartbleed, una gravissima vulnerabilità che compromette buona parte dei sistemi e dei servizi usati per crittografare il traffico internet, è già stata ribattezzata l’epic falla (dall’espressione epic fail). Da lunedì sera, quando è stata rivelata al mondo, amministratori di sistema e IT manager si sono trovati a gestire una situazione di emergenza, i cui potenziali effetti catastrofici (e del resto, bug catastrofico è stato definito dall’esperto di crittografia Bruce Schneier) sono ancora tutti da capire. Ma vediamo punto per punto di che si tratta e cosa sta succedendo.

La “falla” (oppure “bug”)
Heartbleed è il nome assegnato a una vulnerabilità zero day (CVE-2014-0160) che riguarda OpenSSL, il sistema usato per criptare le comunicazioni internet usato da due terzi dei server e fino ad oggi considerato uno dei sistemi più sicuri. La falla – e questa è una pessima notizia – esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g.  Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8.

Aspetta: cosa sarebbe OpenSSL?
Una implementazione open source di SSL e TSL, i due protocolli che garantiscono la sicurezza delle comunicazioni e transazioni di gran parte di ciò che sta sul web. Avete presente https nel browser, insomma il lucchetto che compare con l’online banking, Gmail e molti altri servizi che devono proteggere (leggi: cifrare) le loro comunicazioni? Ecco è un esempio.

Chi ha scoperto la falla?
La falla è stata individuata da un ingegnere di Google, Neel Mehta, e da alcuni ricercatori di Codenomicon, che hanno poi creato un sito ad hoc, appunto Heartbleed. Non senza qualche polemica riguardo a come la falla è stata comunicata.

Chi ne è colpito?
Molti sistemi operativi sono vulnerabili, tra cui Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2. Ma al di là di questo, il punto è che OpenSSL gira su due dei web server più usati, Apache e nginx, così come server mail, servizi di chat, VPN e altri servizi. Ora immaginate che il lucchetto per blindare il traffico e le comunicazioni con tutti questi servizi sia potenzialmente apribile da chiunque conosca la falla e vi renderete conto della enormità del problema.

Quali aziende web sono interessate?
Fornitori di servizi, social media, webmail, online banking sono potenzialmente tutti interessati. In particolare: Apple, Microsoft, Twitter, Facebook e Google NON sembra siano state colpite dalla vulnerabilità, al contrario di Yahoo, che è stata esposta dal bug. Gli esperti di sicurezza hanno consigliato agli utenti di non entrare nei proprio account Yahoo in questo momento (il rischio era farsi rubare le credenziali da qualcuno che sfruttando la vulnerabilità sniffasse il traffico).
Tuttavia successivamente da Yahoo hanno fatto sapere che la vulnerabilità è stata messa a posto, quindi allo stato attuale i seguenti servizi sono tornati sicuri: Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech, Flickr e Tumblr. Il consiglio rimane comunque dicambiare la propria password una volta loggati.
Fortunati gli utenti Google: poiché Gmail usa un avanzato sistema di protezione chiamato Perfect Forward Secrecy, i suoi utenti dovrebbero essere al sicuro anche per quanto riguarda le passate comunicazioni. Con l’occasione la Electronic Frontier Foundation ha consigliato di implementare Perfect Forward Secrecy – che protegge i dati cifrati, anche nel caso siano stati intercettati e salvati da qualche “spione”, e la chiave del sito sia successivamente compromessa – su più servizi possibili.

Qui si trova una lista di possibili siti interessati dalla falla, ma molti potrebbero aver già messo la toppa.

Il problema riguarda anche Tor, il software per l’anonimato, che ieri ha rilasciato una dichiarazione poco rassicurante: “Se avete bisogno di un anonimato e una privacy forte su internet, forse dovreste starre sconnessi per i prossimi giorni finché la situazione non si sistema“.
Tails – il sistema operativo live super sicuro e pro-privacy, basato su Linux (Debian)  – sarebbe invece al riparo.

Che fare? Upgrade, upgrade and revoke
La versione più recente di OpenSSL, 1.0.1g, chiude la falla, quindi ogni sito che usi OpenSSL dovrebbe aggiornare all’ultima releaseimmediatamente. Se un attaccante avesse usato la falla per entrare in un server web, avrebbe potuto accedere ai suoi gioielli:le chiavi di cifratura. Con queste avrebbe potuto decriptare il traffico da e al server; o impersonarlo, cioè far credere a un utente che sta visitando un certo sito mentre in realtà è un altro; o decifrare i database dei server, inclusi username, password, indirizzi email, informazioni sui pagamenti ecc

Quindi oltre ad aggiornare, è anche necessario che siti e servizi rigenerino le chiavi, revochino i loro certificati di cifratura e ne emettano dei nuovi. Qui si può controllare se un sito ha aggiornato i suoi certificati.

E’ possibile calcolare i danni di questa falla? Ed è già stata usata?
Non possiamo sapere se un sito è stato attaccato attraverso la falla (se non a posteriori nel caso escano fuori leaks o altro), non lascia tracce, diciamo. Inoltre non sappiamo se il bug è stato sfruttato, quanto e da quando. La situazione è del tipo: aggiorna, revoca, e incrocia le dita per il passato.

Cosa deve fare un utente?
Cambiare le password dei servizi che usano OpenSSL dopo che sono stati aggiornati. Aggiornare il proprio sistema, le distribuzioni Linux stanno rilasciando update in questo momento. Tenere sotto controllo i propri account.

fonte: http://www.wired.it/attualita/tech/2014/04/09/come-funziona-falla-heartbleed

Cos’è IPCop?

IPCop è una distribuzione GNU/Linux opensource adatta a realizzare un firewall hardware/software. Garantisce un’efficiente sicurezza della rete impedendo intrusioni esterne non autorizzate.

Il progetto IPCop è attivo da diversi anni e nelle ultime versioni è risultato essere così maturo da acquistare crescente successo in una vasta comunità di utenti e di sviluppatori.
Il manifesto della distribuzione si articola nei seguenti punti:

  1. Offrire una distribuzione Firewall Linux stabile sicura
  2. Creare ed offrire una distribuzione Firewall Linux estremamente configurabile
  3. Offrire una distribuzione Firewall Linux di facile manutenzione

Sito originale della distribuzione Linux: http://www.ipcop.org
Sito ufficiale della community italiana: http://forum.ipcop.pd.it

 

Curriculum Vitae
di Antonello Rotolo


Network System Administrator

Antonello Rotolo


INFORMAZIONI PERSONALI

Nazionalità: Italiana
Anno di Nascita: 1990
Email: antonello.rotolo@gmail.com
Sito Web: www.antonellorotolo.it

ISTRUZIONE E FORMAZIONE

Diploma: Liceo Scientifico
Votazione: 84/100

Laureando in: INFORMATICA – TECNOLOGIE PER LA PRODUZIONE DEL SOFTWARE

Attestato di Frequenza: Security Summit 2014
Rilasciato da: Clusit – Associazione Italiana per la Sicurezza Informatica

Attestato di Frequenza: Percorso Formativo eSecurity 2013
Rilasciato da: SMAU Milano 2013 e Aruba S.p.A

Diploma: Security Summit 2013
Rilasciato da: Clusit – Associazione Italiana per la Sicurezza Informatica

Attestato di Frequenza: Security Summit 2013
Rilasciato da: Clusit – Associazione Italiana per la Sicurezza Informatica

ESPERIENZA LAVORATIVA

Dicembre 2015 – OGGI PRESSO Digital Telco s.r.l.
NETWORK SYSTEM ADMINISTRATOR

Luglio 2015 – Novembre 2015 PRESSO Media IT s.r.l.
NETWORK ADMINISTRATOR

15 Febbraio 2014 – 15 Marzo 2014 (1 mese) PRESSO Epsoft Italia
ORGANIZZATORE E SUPPORTO TECNICO “SECURITY MEETING 2014″

Maggio 2012 – OGGI PRESSO IPCop Italia
COMMUNITY MANAGER – VICE AMMINISTRATORE


PROGRAMMATORE VISUAL BASIC 6
TECNICO INFORMATICO
AMMINISTRATORE FIREWALL LINUX IPCop
NETWORK SECURITY

CAPACITÀ, CONOSCENZE E COMPETENZE

OTTIMA CONOSCENZA DELLA DISTRO GNU/LINUX IPCOP – Firewall UTM

Caratteristiche e Servizi Firewall Linux IPCop UTM (Unified Threat Management):

  • Diversificazione delle reti
  • Amministrazione di VPN Illimitate, su protocolli IPsec e OpenVPN, con l’utilizzo di certificazioni CA
  • Sistema di consultazione di Logs Accurato
  • Servizio Firewall con Gestione e amministrazione tramite regole. (Port forwarding, Block Out Traffic, Accesso Esterno, DMZ Pinholes)
  • Servizi di DNS dinamici
  • Servizio Proxy Avanzato, a Livello Trasparent e Application, con Sistema di Autorizzazione Utente
  • Filtraggio dei contenuti (URLs, ecc.)
  • Server DHCP
  • Servizio Hosts
  • Aggiunta di Alias IP
  • Gestione Grafica del Traffico
  • Time Server
  • Gestione Banda
  • Servizio anti-virus, anti-spam, anti-malware

CONOSCENZE DI RETI INFORMATICHE

  • Modello ISO/OSI
  • Protocollo TCP/IP
  • Reti LAN, Wi-Fi, VPN, VLAN
  • Routing Statico, NAT Statico
  • Network Security

CONOSCENZA DEI SISTEMI OPERATIVI:

  • Windows XP, Vista, Seven, 8, 10, Android, Linux UBuntu, Mac OS X
  • PfSense, Endian Community, DD-WRT
  • VMware ESXi, Citrix XenServer
  • Ubuntu Server, Fedora Server, CentOS Server, Windows Server
  • AirOS – Ubiquiti
  • RouterOS – Mikrotik

CONOSCENZE RIGUARDO:

  • Control Panels (cPanel e WHM, Webmin, CentOS WebPanel, PhpMyAdmin)
  • Formattazione di Personal Computer.
  • Gestione di Personal Computer con Multi-Boot e selezione del Sistema Operativo.
  • Partizionamento di Dischi di Memoria.
  • Gestione e Cifratura di Archivi e Partizioni TrueCrypt.
  • Assemblaggio PC Desktop.
  • Software di Sicurezza in ambiente Windows (Anti-Virus, Firewalls, Anti-Malware, Anti-Keylogger).
  • Software di Recupero Dati in ambienti Windows e Linux.
  • Software di Virtualizzazione (VMware Workstation, VMware Fusion, Parallels Desktop)
  • Integrazione in GMAIL di più Account di Posta Elettronica
  • DataBase (MySQL + MySQL Workbench, SQL Server + SQL Server Management Studio)
  • FileZilla Client, FileZilla Server, WinSCP, Putty
  • Ambienti di Programmazione (Adobe Dreamweaver CS5, Java Eclipse, Notepad++)
  • CMS (WordPress, phpBB)
  • Software di Sincronizzazione Dati (FreeFileSync)

CONOSCENZE DEI LINGUAGGI:

  • Visual Basic 6
  • Java
  • PHP – JavaScript – XHTML – CSS
  • Perl
  • Bash

 

Curriculum Vitae aggiornato al: 08/12/2016