Il bug Heartbleed è una vulnerabilità OpenSSL che consentirebbe agli hacker malintenzionati di rubare informazioni da siti Web che normalmente sarebbero protetti dalla crittografia SSL / TLS. La libreria di crittografia OpenSSL open source viene utilizzata per implementare il protocollo TLS (Transport Layer Security) di Internet.
Nominato dai ricercatori che hanno scoperto la falla di sicurezza, Heartbleed Bug consente teoricamente a chiunque su Internet di accedere a un server Web sicuro che esegue determinate versioni di OpenSSL per ottenere chiavi di crittografia del sito, password utente e contenuto del sito.
Secondo l' sito web ufficiale di Heartbleed Bug, OpenSSL da 1.0.1 a 1.0.1f (incluso) sono vulnerabili mentre OpenSSL versione 1.0.1g corregge la falla di sicurezza.
Creazione di difetti del cuore e scoperta di bug
Il bug Heartbleed è stato inizialmente scoperto dall'ingegnere di Google Neel Mehta e dalla società di sicurezza finlandese Codenomicon. La falla di sicurezza è stata introdotta nel protocollo di crittografia OpenSSL open source dallo sviluppatore di software tedesco Robin Seggelmann. Poiché il difetto è diventato ampiamente noto, Seggelmann ha detto che il bug è stato inavvertitamente ignorato da lui stesso e da un altro revisore del codice e il bug non è stato inserito maliziosamente, nonostante le teorie cospirative online riguardanti Heartbleed, come la NSA che utilizza il bug Heartbleed per spiare.
L'insetto sanguinante nelle notizie
Voci di bug insanguinati
RCMP ha chiesto al Revenue Canada di ritardare la notizia dei furti di SIN
L'insetto sanguinante morde milioni di telefoni Android
Bug Heartbleed: cosa è interessato e quali password è necessario modificaree
I test confermano che il bug Heartbleed può esporre la chiave privata del server
Attacchi sanguinari
Ci sono pochi casi documentati di attacchi che sfruttano il bug Heartbleed, ma gli esperti di sicurezza avvertono che l'utilizzo del bug non lascerebbe traccia e tutti i siti Web che utilizzano le versioni OpenSSL interessate dovrebbero essere considerati compromessi.
Mentre molti siti di grandi dimensioni, tra cui Google, Facebook e altri si sono affrettati a notare che i servizi erano "al sicuro" da Heartbleed, l'annuncio pubblico dell'8 aprile 2014 sembra aver provocato attacchi. L'Agenzia delle Entrate del Canada (CRA) ha chiuso i servizi pubblici online per correggere il difetto, ma prima che la correzione fosse implementata, il CRA ha detto che 900 numeri di previdenza sociale sono stati rubati dai computer CRA da persone che sfruttano il bug Heartbleed.
In un altro attacco segnalato, sito web per genitori con sede nel Regno Unito, Mumsnet, afferma inoltre di aver subito una violazione in cui l'infiltrato ha affermato di aver utilizzato Heartbleed per accedere a un account. Il sito ha fornito alcuni dettagli ai propri utenti insieme a istruzioni su come reimpostare le password del sito.
Heartbleed: oltre Internet
Il bug Heartbleed si estende oltre Internet. Ad esempio, i dispositivi mobili che eseguono il sistema operativo Android 4.1.1 (rilasciato nel 2012) presentano il bug del software Heartbleed. Tutte le altre versioni sono immuni al difetto, ma questo lascia milioni di smartphone e tablet vulnerabili. Inoltre, i sistemi operativi, tra cui Debian Wheezy (stabile), Ubuntu 12.04.4 LTS, CentOS 6.5, OpenBSD 5.3 e OpenSUSE 12.2 sono versioni fornite con una versione vulnerabile di OpenSSL (vedi elenco completo).