Heartbleed. Come difendersi dalla falla (per webmaster e utenti)

La scoperta del bug Heartbleed ha generato un’autentica mobilitazione della Rete: negli ultimi giorni webmaster, amministratori di siti, analisti e utenti si sono ritrovati a fronteggiare una delle vulnerabilità più rilevanti della storia informatica. Un vero e proprio bagno di sangue per la privacy di milioni di persone nel mondo, capace di coinvolgere circa il 65% dei server esistenti a livello globale che si sono rivelati, improvvisamente, ad alto rischio per la riservatezza dei dati contenuti.

Le regole di base, fondamentalmente, prevedono per gli utenti il reset di tutte le credenziali di autenticazione per siti web, social network, posta elettronica, home banking, circuiti di pagamento. Operazioni da effettuare però solo a seguito dell’aggiornamento dei certificati di sicurezza dei siti vulnerabili a Heartbleed: ed è qui che entra in scena il ruolo fondamentale di webmaster e amministratori di sistema.

Heartbleed. La guida per aggiornare e proteggere i siti web

  1. In qualità di webmaster e amministratori server, la primissima operazione da compiere è ricompilare il codice libreria OpenSSL escludendo l’opzione heartbeats e attivando la flag DOPENSSL_NO_HEARTBEATS.

2 – In questo modo la funzione alla base della vulnerabilità viene completamente disabilitata e il sistema non può essere attaccato. Ora con più calma, è possibile procedere alla soluzione del problema. La seconda azione concreta consiste nel verificare la propria versione OpenSSL in quanto:

  • OpenSSL 1.0.1 fino alla 1.0.1f (inclusa) sono vulnerabili
  • OpenSSL 1.0.1g non è vulnerabile
  • OpenSSL 1.0.0 non è vulnerabile
  • OpenSSL 0.9.8 non è vulnerabile

Come contro-prova è possibile testare il dominio utilizzando il sistema di diagnostica messo a disposizione dal programmatore italiano Filippo Valsorda, che analizza il sito e ne verifica la vulnerabilità.

3 – Nel caso in cui foste vulnerabili l’operazione da compiere consiste nell’effettuare l’update all’ultima versione di OpenSSL, la 1.0.1g o successiva, che contiene la patch di sicurezza.

4 – Nonostante questo è necessario eseguire altre operazioni fondamentali, senza le quali l’update non basta. E’ prioritario generare una nuova chiave privata in quanto la sicurezza della vecchia potrebbe essere stata compromessa dal bug.

La chiave (RSA o DSA, a seconda delle esigenze) può essere creata direttamente attraverso l’interfaccia di comando OpenSSL seguendo le istruzioni della guida pubblicata da OpenSSL.

5 – Ottenuto il CSR, dobbiamo revocare tutti i vecchi certificati digitali, e richiederne di nuovi all’autorità preposta. L’operazione può teoricamente comportare un piccolo pagamento, ma alcune autorità, come Trust Italia, hanno scelto di consentire gratuitamente ai propri clienti di effettuare la revoca e la riemissione certificati SSL a rischio offrendo un aiuto concreto nella battaglia contro Heartbleed.

6 – Terminate queste operazioni è buona norma avvisare i propri utenti proponendogli un cambio di username e password, ricordando che anche le loro credenziali potrebbero essere state intercettate negli ultimi 24 mesi e archiviate da terzi all’insaputa dei relativi proprietari.

Cosa possono (e devono) fare gli utenti

Partiamo con una nota dolente: nei 24 mesi in cui il bug Heartbleed è rimasto attivo, ad oggi è possibile fare ben poco per contrastare eventuali furti di dati e credenziali.

1- La prima cosa da verificare è se i siti abitualmente frequentati risultano (o sono risultati) vulnerabili alla falla. Mashable ha raccolto una lista in continuo aggiornamento di tutti i comunicati rilasciati dai portali o dai servizi web affetti da Heartbleed. I nomi sono celebri e di largo uso a livello globale: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist e molti altri ancora.

Può essere utile, in caso di dubbio, utilizzare uno dei tanti strumenti di verifica rilasciati sul web in queste ore:
Possible.lv heartbleed test
Filippo Heartbleed test
LastPass Heartbleed checker
– Test McAfee

2- Appurato che il sito o il server abitualmente utilizzato ha effettivamente aggiornato alla nuova versione di OpenSSL e quindi risolto il bug, sarà necessario verificare il certificato del sito e assicurarsi che questi venga utilizzato (accertarsi, quindi, di non utilizzare nuovamente i vecchi certificati a rischio).

A seconda del browser in uso è possibile verificare la versione del certificato e la data di rilascio: questa, in particolare, dovrà essere coincidente o successiva all’8 aprile 2014: eventuali versioni antecedenti dovranno essere revocate con l’apposito tasto.

3- Una volta “ordinato” al browser di non utilizzare vecchi certificati, è necessario aggiornare username e password. A questo punto valgono le consuete regole per la scelta di credenziali robuste e ragionevolmente sicure: parole di almeno 8 lettere, caratteri alfanumerici, alternanza di maiuscole e minuscole o di segni di punteggiatura, evitare nomi o date riconducibili alla propria persona o a familiari, preferire parole di fantasia.

Per incrementare la sicurezza, è possibile modificare la password a intervalli regolari nell’arco dei prossimi 3 mesi: una procedura che aumenterà ulteriormente la propria sicurezza nel caso in cui le credenziali fossero finite effettivamente nelle mani sbagliate.