Distributore swissdec Heartbleed non riguarda il distributore swissdec Heartbleed, la grave falla rilevata nel diffusissimo software di crittografia OpenSSL di cui si è avuto notizia il 7 aprile 2014, non riguarda il distributore swissdec. swissdec e il gestore hanno esaminato immediatamente i server interessati per rilevare l’eventuale falla. Dall’analisi è emerso che il distributore swissdec non è mai stato vulnerabile al bug. Cos’è OpenSSL? OpenSSL è un’implementazione open source del protocollo SSL e del suo successore TLS (cifratura a livello di trasporto). OpenSSL viene utilizzato come libreria standard in tutti i sistemi operativi e i server web di uso comune. Secondo Netcraft, il 66% dei server web utilizza OpenSSL. Cos’è Heartbleed? Noto ufficialmente come CVE-2014-0160, Heartbleed è un bug scoperto di recente in OpenSSL. Tramite Heartbleed, un hacker può accedere alla RAM dei sistemi coinvolti. Perché Heartbleed rappresenta un problema così grave? Le ragioni sono molteplici. L’aspetto primario e più evidente è che i server web, in presenza di connessioni criptate con certificati SSL/TLS, possono rivelare dati sensibili. Il fatto che un hacker possa accedere alla memoria RAM mette in pericolo, nel nostro caso, non solo dati rilevanti per la connessione (chiave SSL), ma anche dati di trasmissione (chiave WS-Security o la notifica dei salari). Inoltre non vi è alcuna possibilità di appurare se un server interessato dal bug sia già stato spiato. L’attacco di un eventuale hacker non lascia tracce. La falla è presente in OpenSSL da circa 3 anni: i potenziali pirati informatici hanno quindi avuto molto tempo per sfruttare la situazione. swissdec: sicurezza grazie a un doppio livello di crittografia La versione utilizzata dal nostro provider (Swisscom) sul endpoint SSL/TLS non è mai stata vulnerabile all’attacco di Heartbleed. I nostri test confermano che il distributore è tuttora immune dal bug. Un’ulteriore garanzia è rappresentata dall’architettura swissdec con un doppio livello di crittografia. In altre parole, oltre al canale SSL (livello di trasporto) è criptato anche il contenuto informativo (livello di messaggio, SOAP WS-Security). Le due codifiche vengono decrittate in sistemi separati (sequenza di decodifica: prima trasporto, poi contenuto informativo). In questo modo si garantisce l’indipendenza dei due livelli summenzionati. Anche i dati in uscita dal distributore vengono trasmessi al destinatario finale con una doppia cifratura, pertanto sono sostanzialmente protetti. Della ricezione e dell’ulteriore elaborazione dei dati sono responsabili i destinatari finali. Finora, tuttavia, non ci risulta che siano stati notificati problemi al riguardo. swissdec e Swisscom Creato: 10.04.2014 Aggiornato il 15.04.201410.04.2014 Pagina 1 / 1
© Copyright 2024 ExpyDoc