La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15.

PubblicatoSamuele Grasso Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15."— Transcript della presentazione:

1 Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15

2 Heartbleed È una falla dell’estensione Heartbeat, presente nella libreria crittografica OpenSSL Riferimento ufficiale: CVE-2014-0160 (Common Vulnerabilities and Exposures) Robin Seggleman

3 OpenSSL È un progetto open source nato nel 1998 Nel 2008 è stato rilevato un altro bug nel sistema Debian Nel 2014 2/3 dei server del mondo lo utilizzavano

4 SSL e TLS Rispettivamente Secure Sockets Layer e Transport Layer Security Estensioni a livello applicazione del modello TCP/IP Standard per stabilire una connessione sicura

5 Cos’è Heartbleed? Reso noto nel 2014 Bug dell’estensione Heartbeat Consente la lettura della memoria in maniera silenziosa

6 Come funziona?

7 NSA L’agenzia conosceva già il bug nel 2012 Utilizzato a loro vantaggio per accedere a informazioni sui sospettati

8 Quando è stato divulgato il bug, il 17% dei siti definiti sicuri era affetto da questa vulnerabilità

9 Siti colpiti Furono resi disponibili numerosi servizi per verificare se un determinato sito era affetto o meno Alcuni servizi colpiti: Dropbox, Google, Yahoo e probabilmente Facebook, Twitter, Apple

10 Estensione Heartbeat Descritta da RFC 6520, funzione keep alive, attiva di default

11 Analisi codice I file sorgenti del programma vulnerabili sono t1_lib.c and d1_both.c e le funzioni vulnerabili sono tls1_process_heartbeat() e dtls1_process_heartbeat()

12

13 Funzionamento

14 Esempio di leak

15 Conseguenze Lettura di POST data, cookies e password Ottenimento delle chiavi private Vulnerabilità lato client: reverse heartbleed Esempi: furto Social Insurance Numbers, furto account Mumsnet, sfruttamento anti-malware, compromissione dati pazienti CHS

16 Fix del bug Se non è possibile si ricompila OpenSSL rimuovendo l’handshake dal codice con l’uso dell’opzione -DOPENSSL_NO_HEARTBEATS.

17 Cosa fare per ridurre i danni? Installazione software fixato Cambio password Rigenerazione chiavi con conseguente revoca e rimpiazzamento certificati Perfect forward secrecy Interventi specifici a seconda del sistema

18 Insegnamenti e soluzioni Analisi preventiva: negative testing Attenzione a dettagli di programmazione Aumento forza lavoro Utilizzo audit Semplificazione codice (LibreSSL) Finanziamenti (Core Infrastructure Initiative)

19 Credits: http://en.wikipedia.org/wiki/Heartbleed https://tools.ietf.org/html/rfc6520 http://heartbleed.com/ http://www.theregister.co.uk/2014/04/09/heartbleed_explained/ http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902

Scaricare ppt "Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15."

Presentazioni simili

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
La riduzione dei privilegi in Windows

La riduzione dei privilegi in Windows
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.

Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Nel ventesimo secolo ci fu la nascita dellinformatica il termine telematica nasce dalla fusione di due termini telecomunicazione e informatica una rete.

Nel ventesimo secolo ci fu la nascita dellinformatica il termine telematica nasce dalla fusione di due termini telecomunicazione e informatica una rete.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.

Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
NESSUS.

NESSUS.
Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.

Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.
Dott. Nicola Ciraulo www.nicolaciraulo.it gmcola@gmail.com CMS Dott. Nicola Ciraulo www.nicolaciraulo.it gmcola@gmail.com.

Dott. Nicola Ciraulo CMS Dott. Nicola Ciraulo
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi www.infocamere.it.

Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Università degli Studi di Salerno ISP 1 Fase di Tuning Cepparulo Marco Granatello Emmanuel Guarino Giuseppe Laurino Rocco.

Università degli Studi di Salerno ISP 1 Fase di Tuning Cepparulo Marco Granatello Emmanuel Guarino Giuseppe Laurino Rocco.
Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.

Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.
Carotenuto Raffaele Distante Federico Picaro Luigi

Carotenuto Raffaele Distante Federico Picaro Luigi
Certification Authority Fase I : Setup e Configurazione Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino.

Certification Authority Fase I : Setup e Configurazione Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis

Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Security Enhanced Linux (Selinux) A cura di : De Pascale Filippo 1.

Security Enhanced Linux (Selinux) A cura di : De Pascale Filippo 1.
Introduzione ad ASP.net

Introduzione ad ASP.net
E. Ferro / CNAF / 14 febbraio 2003 1/13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.

E. Ferro / CNAF / 14 febbraio /13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.

Presentazioni simili

Annunci Google