Bugie e complottismo su heartbleed

Ho scritto questo articolo prendendo spunto da un topic postato sul newsgroup it.lavoro.informatica, eh si Usenet esiste ancora e lì si possono scrivere contenuti in maniera anonima e flammare in tutta tranquillità. Il subject del topic coincideva con il titolo di un altro articolo: Internet non sarà mai sicuro perchè è scritto in C. Sembra essere stato ideato ad hoc per far polemica, per come la penso io è che il codice non sarà mai sicuro finchè il codice sarà scritto da essere umani. Non è certo colpa dello strumento usato se viene prodotto un bug. Certo esistono alcuni linguaggi che aiutano chi sviluppa il codice, ma eliminare tutti gli errori umani è impossibile.
Qui di seguito il topic postato sul newsgroup:

Il 09/04/2014 14.03, ngw ha scritto:> http://gilesbowkett.blogspot.it/2014/04/the-internet-will-never-be-secure-ever.html
Prendo popcorn.
ngw

Come è stato scritto nel documento ufficiale di Heartbleed, il bug è stato introdotto nell’implementazione del protocollo e non nel protocollo, su windows infatti questo problema non c’è stato.
Qui uno stralcio della documentazione ufficiale su heartbleed che spiega questa cosa:

Why it is called the Heartbleed Bug?
Bug is in the OpenSSL’s implementation of the TLS/DTLS (transport layer security protocols) heartbeat extension (RFC6520). When it is exploited it leads to the leak of memory contents from the server to the client and from the client to the server.

L’immagine seguente è stata postata su xkcd e spiega come funziona il bug:

heartbleed_explanation

Bugie e complottismo su heartbleed

Heartbleed ha incrinato un pò la fiducia dei navigatori nei confronti del web (fiducia che in italia è già alquanto bassa), il bug era pericoloso, ma forse si è esagerato e come al solito i giornalisti si sono lasciati prendere un pò troppo la mano senza sapere bene quello che scrivevano.
Nelle varie notizie su heartbleed sono state scritte le cose più strane per es. che dietro c’era la mano della NSA e che l’open source non è sicuro perchè era due anni che c’era il bug e nessuno non si è accorto di niente etc… TUTTE MINCHIATE
L’NSA poteva anche esserne venuta a conoscenza(anche se Snowden non mi pare che avesse detto nulla a riguardo) ma di certo il bug non l’ha introdotto lei ma uno sviluppatore, tale Robin Seggelmann come è stato spiegato su punto informatico nell’articolo Heartbleed, la gestione della crisi e le patch :

Il problema nasce da una “mancata validazione di una variabile contenente una lunghezza”, ha spiegato Seggelmann, e il fatto che il codice fosse stato visionato da altri sviluppatori prima di essere integrato in OpenSSL non è servito a individuare il potenziale problema e quindi a scongiurare la presente crisi telematica mondiale. In altre parole, alla richiesta di informazioni seguita da un valore arbitrario di bit, il sistema rispondeva con l’informazione richiesta e tutto quanto veniva dopo per la lunghezza della stringa specificata: OpenSSL parlava troppo, e potrebbe aver spifferato informazioni preziose agli interlocutori sbagliati.

La seconda cosa sull’open source insicuro è un’altra panzana, perchè attualmente i sistemi di crittografia abbracciano il principio di Kerckhoffs che va contro il concetto di sicurezza tramite segretezza (il closed source è INSICURO non l’open source):

In altre parole questo principio afferma che un crittosistema deve essere sicuro anche se il suo funzionamento è di pubblico dominio, con l’eccezione della chiave. È stato riformulato (forse in modo indipendente) da Claude Shannon sotto la forma “il nemico conosce il sistema”; in questa forma è chiamato massima di Shannon.
È un principio apprezzato da molti crittografi ed è in netto contrasto al principio della sicurezza tramite segretezza.

Purtroppo non ho avuto il tempo di rileggere l’articolo se ci sono refusi o orrori di traduzione li correggerò in seguito.

Altri articoli e documentazione su heartbleed:
Tool per testare la vulnerabilità heartbleed scrtto da Filippo Valsorda
https://filippo.io/Heartbleed/
HeartBleed, onestamente mi ha stancato! Considerazioni personali…
http://heartbleed.com/

L'articolo ti è stato utile?

Condividilo sulla tua rete di contatti Twitter, sulla tua bacheca su Facebook o semplicemente premi "+1" per suggerire questo risultato nelle ricerche in Google. Diffondere contenuti che trovi rilevanti aiuta questo blog a crescere. Grazie!