ad aprile Heartbleed ha aperto le danze, svelando in modo piuttosto brusco i problemi dovuti all'esclusiva forma di volontarietà con cui sono gestiti alcuni dei pacchetti, senza dubbio definibili pilastri di internet e del suo utilizzo in modo sicuro.
Sull'onda di questa presa di coscienza sono aumentate le attività di analisi del codice di OpenSSL e frutto di questo lavoro è la scoperta di alcune altre vulnerabilità.
Mi soffermerei sulla CVE-2014-0224, la vulnerabilità con maggiore criticità dell'ultima tornata che consente di eseguire un attacco di tipo Man in the Middle.
La vulnerabilità consente, grazie all’invio di un pacchetto di handshake confezionato appositamente, di far utilizzare al client ed al server algoritmi crittografici deboli, ponendo le basi per l'attacco Man In The Middle e consentire quindi l’intercettazione e la modifica del traffico tra client e server.
La vulnerabilità è stata individuata da Masashi Kikuchi, che ha pubblicato una FAQ sulla vulnerabilità e racconta la storia di come ha scoperto la vulnerabilità
di seguito alcuni link utili per comprendere, gestire e verificare la vulnerabilità.
di Masashi Kikuchi
tools di verifica
dev.ssllabs.com ( ancora sperimentale )
programmi realizzati da Ramon de C Valle per la verifica del server e del client ( negli esiti sono stati riscontrati dei falsi positivi )
tool di verifica in perl
aggiornamento
aggiornamento
bye ;)