La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15.

Presentazioni simili


Presentazione sul tema: "Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15."— Transcript della presentazione:

1 Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15

2 Heartbleed È una falla dell’estensione Heartbeat, presente nella libreria crittografica OpenSSL Riferimento ufficiale: CVE-2014-0160 (Common Vulnerabilities and Exposures) Robin Seggleman

3 OpenSSL È un progetto open source nato nel 1998 Nel 2008 è stato rilevato un altro bug nel sistema Debian Nel 2014 2/3 dei server del mondo lo utilizzavano

4 SSL e TLS Rispettivamente Secure Sockets Layer e Transport Layer Security Estensioni a livello applicazione del modello TCP/IP Standard per stabilire una connessione sicura

5 Cos’è Heartbleed? Reso noto nel 2014 Bug dell’estensione Heartbeat Consente la lettura della memoria in maniera silenziosa

6 Come funziona?

7 NSA L’agenzia conosceva già il bug nel 2012 Utilizzato a loro vantaggio per accedere a informazioni sui sospettati

8 Quando è stato divulgato il bug, il 17% dei siti definiti sicuri era affetto da questa vulnerabilità

9 Siti colpiti Furono resi disponibili numerosi servizi per verificare se un determinato sito era affetto o meno Alcuni servizi colpiti: Dropbox, Google, Yahoo e probabilmente Facebook, Twitter, Apple

10 Estensione Heartbeat Descritta da RFC 6520, funzione keep alive, attiva di default

11 Analisi codice I file sorgenti del programma vulnerabili sono t1_lib.c and d1_both.c e le funzioni vulnerabili sono tls1_process_heartbeat() e dtls1_process_heartbeat()

12

13 Funzionamento

14 Esempio di leak

15 Conseguenze Lettura di POST data, cookies e password Ottenimento delle chiavi private Vulnerabilità lato client: reverse heartbleed Esempi: furto Social Insurance Numbers, furto account Mumsnet, sfruttamento anti-malware, compromissione dati pazienti CHS

16 Fix del bug Se non è possibile si ricompila OpenSSL rimuovendo l’handshake dal codice con l’uso dell’opzione -DOPENSSL_NO_HEARTBEATS.

17 Cosa fare per ridurre i danni? Installazione software fixato Cambio password Rigenerazione chiavi con conseguente revoca e rimpiazzamento certificati Perfect forward secrecy Interventi specifici a seconda del sistema

18 Insegnamenti e soluzioni Analisi preventiva: negative testing Attenzione a dettagli di programmazione Aumento forza lavoro Utilizzo audit Semplificazione codice (LibreSSL) Finanziamenti (Core Infrastructure Initiative)

19 Credits: http://en.wikipedia.org/wiki/Heartbleed https://tools.ietf.org/html/rfc6520 http://heartbleed.com/ http://www.theregister.co.uk/2014/04/09/heartbleed_explained/ http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902


Scaricare ppt "Il bug Heartbleed Molinari Alberto Guglielmini Manuel Sicurezza Informatica - A.A. 2014/15."

Presentazioni simili


Annunci Google