Skip to content

Heartbleed di OpenSSL: siete vulnerabili?

More Options

Esaminate i fatti e i consigli degli esperti su che cosa fare

Con la diffusione dell’uso di OpenSSL in applicazioni e server nelle aziende di grandi dimensioni, la vulnerabilità Heartbleed di OpenSSL recentemente annunciata ha introdotto un nuovo livello di rischio e vulnerabilità che le organizzazioni devono prendere seriamente in considerazione. In qualità di leader del mercato della sicurezza, Trend Micro può aiutarvi a capire e ad affrontare questa vulnerabilità. Segue una discussione chiara sui problemi e su cosa possono fare i clienti.


Scoprite che cos’è il bug Heartbleed bug e se voi siete vulnerabili

Il bug Heartbleed è una grave vulnerabilità della diffusa libreria software per la crittografia OpenSSL. OpenSSL è un’implementazione del protocollo di crittografia SSL/TLS utilizzato per proteggere la privacy delle comunicazioni su Internet. OpenSSL è impiegato da molti siti Web e da altre applicazioni come e‑mail, instant messaging e VPN.

La vulnerabilità Heartbleed permette a un malintenzionato di leggere la memoria dei sistemi utilizzando determinate versioni di OpenSSL, consentendo potenzialmente l’accesso a username, password e anche alle chiavi segrete di crittografia che il server usa per SSL. Ottenendo queste chiavi, utenti malintenzionati possono osservare tutte le comunicazioni su quel sistema, sfruttando ulteriormente la vulnerabilità.

Chi è colpito da Heartbleed?

Secondo i dati di Netcraft: benché il 66% dei siti usi OpenSSL, fino all’8 aprile 2014 solo il 17% è soggetto al bug Heartbleed.

Poiché la vulnerabilità è durata per almeno due anni, un’organizzazione che abbia implementato server con OpenSSL (versioni da 1.0.1 a 1.0.1f) in quel periodo è probabilmente vulnerabile al bug Heartbleed e deve intraprendere misure immediate per affrontare il problema.

Benché non siano stati documentati a tutt’oggi attacchi andati a buon fine con Heartbleed, ciò non significa che non ve ne siano stati. Di conseguenza, anche se la vostra organizzazione oggi non lo è, in passato potrebbe essere stata vulnerabile e si deve ritenere che sia necessario intervenire per rimediare, nel caso in cui abbiate implementato le versioni vulnerabili di OpenSSL.

Mentre l’impiego di OpenSSL è moto diffuso, l’impatto di Heartbleed può essere mitigato a seconda della configurazione del sistema che utilizza SSL.

Non siete vulnerabili se:

  • Non utilizzate OpenSSL (esistono alternative e molte organizzazioni usano moduli di protezione hardware invece che implementazioni software di SSL)
  • Utilizzate OpenSSL compilato disabilitando la funzione heartbeat (in questo modo la funzione heartbeat non può essere sfruttata nell’attacco)
  • Utilizzate OpenSSL 1.0.0 o precedente (il bug è stato introdotto dopo questa release)
     

Come verificare la vulnerabilità Heartbleed

Se usate OpenSSL e non siete certi di essere stati colpiti, è disponibile uno strumento pubblico per il test che può confermare rapidamente se questa vulnerabilità vi riguarda. I clienti di Trend Micro Deep Security for Web Apps possono eseguire una scansione completa di vulnerabilità sulle loro applicazioni Web per verificare la presenza del bug Heartbleed.

Le soluzioni Trend Micro sono state colpite?

Trend Micro sta indagando con la massima attenzione per verificare se le sue soluzioni e i suoi servizi sono stati colpiti dalla vulnerabilità Heartbleed di OpenSSL. Fate clic qui per gli aggiornamenti sulle nostre indagini.


Cosa devono fare le organizzazioni colpite?

Se il vostro server attualmente usa OpenSSL da 1.0.1 a 1.0.1f, probabilmente siete vulnerabili. Effettuate ora le azioni seguenti:

  • Le organizzazioni devono aggiornare i loro sistemi a OpenSSL 1.0.1g o superiore. Se non è possibile effettuare l’aggiornamento, la libreria corrente può essere ricompilata con il flag -DOPENSSL_NO_HEARTBEATS.
  • I clienti Trend Micro Deep Security possono eseguire patch virtuali su qualsiasi server colpito e possono attuare immediatamente regole di prevenzione dell’intrusione per CVE-2014-0160 (richiede l’ultimo aggiornamento DSRU 14-009) per proteggere i server dalla vulnerabilità. Ciò consente di guadagnare tempo in vista dell’aggiornamento della libreria OpenSSL a 1.0.1g o successiva e dei necessari test di regressione.
  • I clienti Trend Micro Deep Discovery possono attivare nuove regole per il rilevamento di Heartbleed, per evitare che un attacco mirato possa sfruttare questa vulnerabilità recentemente divulgata.

Anche se un server non fosse attualmente vulnerabile, nel caso in cui sia stato implementato in qualsiasi momento OpenSSL da 1.0.1 a 1.0.1f, il bug potrebbe essere stato sfruttato ed esiste una piccola possibilità che la chiave privata di crittografia usata per il protocollo SSL/TLS sia stata compromessa. Si tratta di un fatto significativo, poiché può consentire a un aggressore di intercettare tutte le comunicazioni del server, anche se la libreria OpenSSL è stata successivamente aggiornata. Di conseguenza, le organizzazioni devono riemettere i certificati SSL generando nuove chiavi:

  • I clienti Trend Micro Deep Security for Web Apps possono riemettere il certificato SSL con le nuove chiavi dal portale self-service nel giro di qualche minuto senza costi aggiuntivi.
  • Le altre organizzazioni dovranno consultare le istruzioni delle rispettive autorità di certificazione per la generazione di nuove chiavi e l’emissione di nuovi certificati.

Se un sistema è vulnerabile, o lo è stato, le organizzazioni devono valutare il tipo di informazioni potenzialmente compromesse. In alcuni casi, se le informazioni compromesse sono delicate, come password di account e numeri di carte di credito, le organizzazioni potranno decidere di avvisare i clienti del rischio e consigliarne l’aggiornamento delle credenziali.


Come fate a essere pronti per problemi come il bug Heartbleed?

Moltissime organizzazioni stanno dedicando giornate non previste per collaudare e sistemare i propri sistemi in risposta a questa diffusa vulnerabilità. Potete essere certi che esistono molte altre vulnerabilità sconosciute. Trend Micro offre una gamma completa di possibilità di protezione per endpoint e datacenter, in grado di aiutarvi sia a identificare i problemi sia a proteggervi da chi può trarne vantaggio.

Scansione continua per le vulnerabilità. Il primo passo per la bonifica di un bug come Heartbleed è la sua identificazione. Le organizzazioni dovrebbero controllare continuamente le loro applicazioni Web installate alla ricerca delle vulnerabilità più recenti. Trend Micro Deep Security for Web Apps offre la scansione automatica di applicazioni e piattaforme, oltre a test logici da parte di esperti di sicurezza, fornendo idee utili sulle vulnerabilità.

Immediata riemissione del certificato SSL. In risposta a Heartbleed, le organizzazioni colpite devono impostare nuove chiavi e riemettere i certificati SSL, un processo che richiede molto tempo. Deep Security for Web Apps consente ai clienti di reimpostare rapidamente le chiavi dei certificati SSL e riemetterli in qualche minuto, riducendo al minimo il tempo di esposizione alla vulnerabilità dei sistemi più importanti. Inoltre, un metodo di licenza innovativo consente ai clienti di emettere certificati SSL radice pubblici illimitati per i loro server e anche di passare a certificati Extended Validation (EV) con protezione più elevata, senza costi aggiuntivi.

Patching virtuale istantaneo. È necessario prestare attenzione quando si aggiornano librerie come OpenSSL, per accertarsi che non vi siano conseguenze su altre funzionalità; di solito si procede con test di regressione. È una procedura che richiede tempo e prolunga l’esposizione alla vulnerabilità. Trend Micro Deep Security fornisce rilevamento e prevenzione avanzati delle intrusioni e consente ai clienti di eseguire il patching virtuale dei sistemi. Ciò permette di attuare subito blocco e protezione dagli attacchi che tentato di sfruttare le vulnerabilità, senza dovere effettuare un aggiornamento della configurazione del server, riducendo i rischi e l’impatto operativo immediato.

Rilevamento di attacchi mirati. Trend Micro Deep Discovery consente alle organizzazioni di identificare gli attacchi mirati in corso all’interno della rete. Grazie a nuove regole specifiche per il bug Heartbleed e a un livello di rilevamento leader del settore (vedere: Trend Micro Deep Discovery raggiunge il punteggio massimo di Breach Detection nei test degli NSS Labs), Deep Discovery consente ai clienti di proteggersi da attacchi mirati oggi e in futuro.


Ciò che dovete sapere su Heartbleed

Mark Nunnikhoven, l’ingegnere principale di Trend Micro per il cloud e le tecnologie emergenti, descrive le sfide che la vostra organizzazione deve affrontare a causa di Heartbleed di OpenSSL, che cosa potete fare adesso e come può aiutarvi Trend Micro.

Guarda il filmato (ingl.)


 

Seguite gli esperti nella difesa dalle minacce per gli ultimi aggiornamenti

Gli esperti di difesa dalle minacce di Trend Micro tengono sotto controllo il bug Heartbleed e condividono le informazioni con voi nei seguenti blog. Potete seguire il Security Intelligence Blog (ingl.) per gli ultimi sviluppi.

Scanner Heartbleed gratuiti

Per aiutarvi a proteggervi dal bug Heartbleed che al momento sta compromettendo le funzioni di protezione SSL sui siti Web di tutto il mondo, Trend Micro ha pubblicato due scanner Heartbleed gratuiti per computer e dispositivi mobili. Gli scanner sono stati progettati per verificare se l’utente sta comunicando con server che sono stati compromessi dal bug Heartbleed.

 

Heartbleed Detector (app mobile Android)

Trend Micro Heartbleed Detector esegue la scansione del vostro dispositivo mobile Android alla ricerca di possibili rischi e vi aiuta in questo modo a stare alla larga dal bug Heartbleed.

Che cosa controlla Heartbleed Detector sul vostro dispositivo mobile?

  • Se il dispositivo mobile è stato colpito dal bug Heartbleed
  • Se le applicazioni dei dispositivi mobili sono state colpite dal bug Heartbleed
  • Se le applicazioni dei dispositivi mobili accedono a servizi in-the-cloud che sono stati colpiti dal bug Heartbleed

Scaricate subito da Google Play.

 

Heartbleed Detector (plug-in per Chrome)

Disponibile sia per utenti Mac che Windows, Trend Micro Heartbleed Detector è un plug-in multipiattaforma per Chrome che consente di verificare gli URL vulnerabili.

Potrete controllare senza difficoltà se un sito Web presenta una vulnerabilità Heartbleed evitando così di mettere a repentaglio la vostra sicurezza.

Installate subito con un solo clic.


Social media

Mettetevi in contatto con noi su