Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15.

Slides:

Advertisements

Presentazioni simili

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.

Advertisements

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

ISA Server 2004 Configurazione di Accessi via VPN

La riduzione dei privilegi in Windows

Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.

Nel ventesimo secolo ci fu la nascita dellinformatica il termine telematica nasce dalla fusione di due termini telecomunicazione e informatica una rete.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.

Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.

Dott. Nicola Ciraulo CMS Dott. Nicola Ciraulo

Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi

Università degli Studi di Salerno ISP 1 Fase di Tuning Cepparulo Marco Granatello Emmanuel Guarino Giuseppe Laurino Rocco.

Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.

Carotenuto Raffaele Distante Federico Picaro Luigi

Certification Authority Fase I : Setup e Configurazione Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino.

Progetto Sicurezza 2 Fase di setup Prof. A. De Santis

Security Enhanced Linux (Selinux) A cura di : De Pascale Filippo 1.

Introduzione ad ASP.net

E. Ferro / CNAF / 14 febbraio /13 GRID.it servizi di infrastruttura Enrico Ferro INFN-LNL.

Modulo 7 – reti informatiche u.d. 2 (syllabus – )

Social Network Forensics

Guida IIS 6 A cura di Nicola Del Re.

Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)

Incontri di prossimità In collaborazione con. LE CARTE DI PAGAMENTO: COSA SONO E A COSA SERVONO Le chiamiamo genericamente carte di credito, ma in circolazione.

Introduzione alla programmazione Object Oriented

INFORMATICA MATTEO CRISTANI. INDICE CICLO DELLE LEZIONI LEZ. 1 INTRODUZIONE AL CORSO LEZ. 2 I CALCOLATORI ELETTRONICI LEZ. 3 ELEMENTI DI TEORIA DELL INFORMAZIONE.

Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.

Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.

Roma, 28/03/2003 Telecommunication Manager edizione 2002/2003 Project Work Realizzato da: Vittorio Randazzo Angelo Ligorio Giuseppe ContinoGianluca Bellu.

Configurazione di una rete Windows

Norman SecureBackup Il backup flessibile per le piccole e medie imprese.

Venezia Confartigianato. Open Source: che cose Source CodeCompila, Verifica, Installa…Programma Il codice sorgente (source code)…. e a volte qualcosa.

File di log: importanza e analisi Seconda parte Yvette ‘vodka’ Agostini Valerio ‘Hypo’ Verde

Virtualization by Security A novel antivirus for personal computers Università degli Studi di Bergamo Corso di Laurea Specialistica In Ingegneria Informatica.

Attivazione protocollo SSL al sistema di posta elettronica

SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.

Attivazione protocollo SSL al sistema di posta elettronica Secure Sockets Layer (SSL) è un protocollo crittografico che permette una comunicazione sicura.

Il pericolo riguarda due terzi dei siti mondiali. Sì, perché è appena saltato fuori un bug, chiamato Heartbleed, in uno dei sistemi più utilizzati per.

Analisi e sperimentazione di una Certification Authority

Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.

Francesco M. Taurino 1 NESSUS IL Security Scanner.

Siti Web Elementi di base per la costruzione di siti web.

UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.

Certificati e VPN.

La Crittografia nell’ambito del protocollo HTTP Classe: V istituto professionale (gestione aziendale) Obiettivo 1: Generazione di competenze e preparazione.

Sicurezza informatica

Procedure di Sicurezza nella Soluzione UPMT per la Mobilità Verticale in Reti IP 1.

Lucia Melotti 1/14 Bologna, 7 luglio 2004 Aspetti di sicurezza nello scambio di messaggi XML tra un partner ebXML ed un Web Service di Lucia Melotti Relatore:

Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.

Tecnologie di Sicurezza in Internet APPLICAZIONI Public Key Infrastructures AA Ingegneria Informatica e dell’Automazione.

Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.

UNITA’ 02 Malware.

Sicurezza e attacchi informatici

Cloud SIA V anno.

Giuseppe Bianchi Università di Roma Tor Vergata March June 2014

Tecnologie di Sicurezza in Internet APPLICAZIONI Commonly used proxies and SSH AA Ingegneria Informatica e dell’Automazione.

31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.

Riccardo Veraldi - INFN Firenze sslpasswd e sslpwdd Una soluzione OpenSSL client/server.

PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.

Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.

Un sistema operativo è un componente del software di base di un computer la cui funzione è quella di gestire le sue risorse hardware e software,fornendo.

Il Software Il Software Zhang Rui Classe 1°B a. s

LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.

Il Cloud storage è un metodo di archiviazione di dati memorizzati su più server virtuali.

PHP HyperText Prepocessor.  Linguaggio di scripting lato server sviluppato per generare pagine web.  Permette ad un sito web di diventare dinamico 

23 giugno Analisi dei Servizi al Cittadino Stato Avanzamento Lavori.

LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.

Gestione delle vulnerabilità critiche di sicurezza R. Brunetti, L. Gaido Commissione Calcolo e Reti, Roma 5-7 ottobre 2010.

Transcript della presentazione:

Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15

Heartbleed È una falla dell’estensione Heartbeat, presente nella libreria crittografica OpenSSL Riferimento ufficiale: CVE (Common Vulnerabilities and Exposures) Robin Seggleman

OpenSSL È un progetto open source nato nel 1998 Nel 2008 è stato rilevato un altro bug nel sistema Debian Nel /3 dei server del mondo lo utilizzavano

SSL e TLS Rispettivamente Secure Sockets Layer e Transport Layer Security Estensioni a livello applicazione del modello TCP/IP Standard per stabilire una connessione sicura

Cos’è Heartbleed? Reso noto nel 2014 Bug dell’estensione Heartbeat Consente la lettura della memoria in maniera silenziosa

Come funziona?

NSA L’agenzia conosceva già il bug nel 2012 Utilizzato a loro vantaggio per accedere a informazioni sui sospettati

Quando è stato divulgato il bug, il 17% dei siti definiti sicuri era affetto da questa vulnerabilità

Siti colpiti Furono resi disponibili numerosi servizi per verificare se un determinato sito era affetto o meno Alcuni servizi colpiti: Dropbox, Google, Yahoo e probabilmente Facebook, Twitter, Apple

Estensione Heartbeat Descritta da RFC 6520, funzione keep alive, attiva di default

Analisi codice I file sorgenti del programma vulnerabili sono t1_lib.c and d1_both.c e le funzioni vulnerabili sono tls1_process_heartbeat() e dtls1_process_heartbeat()

Funzionamento

Esempio di leak

Conseguenze Lettura di POST data, cookies e password Ottenimento delle chiavi private Vulnerabilità lato client: reverse heartbleed Esempi: furto Social Insurance Numbers, furto account Mumsnet, sfruttamento anti-malware, compromissione dati pazienti CHS

Fix del bug Se non è possibile si ricompila OpenSSL rimuovendo l’handshake dal codice con l’uso dell’opzione -DOPENSSL_NO_HEARTBEATS.

Cosa fare per ridurre i danni? Installazione software fixato Cambio password Rigenerazione chiavi con conseguente revoca e rimpiazzamento certificati Perfect forward secrecy Interventi specifici a seconda del sistema

Insegnamenti e soluzioni Analisi preventiva: negative testing Attenzione a dettagli di programmazione Aumento forza lavoro Utilizzo audit Semplificazione codice (LibreSSL) Finanziamenti (Core Infrastructure Initiative)

Credits: