Difficoltà di sicurezza pericolosa probabilmente solo una bufala

Una rivendicazione di una vulnerabilità del software in un programma utilizzato per connettersi in modo sicuro ai server su Internet è probabilmente una bufala, secondo un analista del SANS Internet Storm Center.

Il programma, chiamato OpenSSH (Secure Shell), è installato su decine di milioni di server realizzati da fornitori come Red Hat, Hewlett-Packard, Apple e IBM. Viene utilizzato dagli amministratori per effettuare connessioni crittografate con altri computer e svolgere attività quali l'aggiornamento remoto dei file. OpenSSH è la versione open-source e ci sono versioni commerciali del programma.

All'inizio di questa settimana, SANS ha ricevuto un'e-mail anonima sostenendo una vulnerabilità zero-day in OpenSSH, il che significa che un difetto nel software è già essere sfruttato quando diventa pubblico. È il tipo più pericoloso di vulnerabilità del software poiché significa che non c'è ancora alcuna correzione e i cattivi lo sanno.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Una vera vulnerabilità zero-day in OpenSSH potrebbe essere devastante per Internet, consentendo agli hacker di avere carta bianca di accesso a server e PC fino a quando non viene preparato un workaround o una patch.

"Ecco perché penso che le persone stiano davvero creando un po 'di panico", ha detto Bojan Zdrnja, analista di SANS e consulente per la sicurezza delle informazioni presso Infigo, un'azienda di test di sicurezza e penetrazione a Zagabria, in Croazia. "La gente non deve farsi prendere dal panico in questo momento. Nulla al momento indica che c'è un exploit che viene utilizzato in natura."

Le prove di una vera vulnerabilità zero-day in OpenSSH sono deboli, ha detto Zdrnja. Finora, gli analisti non hanno visto un exploit funzionante, nonostante le preoccupazioni che un gruppo chiamato Anti-Sec possa aver trovato un giorno zero che ha permesso loro di controllare un server Web. I dettagli sull'hack sono stati pubblicati su Full Disclosure, che è un forum non moderato per informazioni sulla sicurezza.

Se premuto per ulteriori dettagli, una persona che dichiara di far parte di Anti-Sec ha scritto una e-mail al servizio di notizie di IDG dicendo "I "Non sono autorizzato a discutere effettivamente l'exploit (o se esiste o meno)", che è stato firmato "Anonimo".

Zdrnja ha detto che lo stesso gruppo ha recentemente compromesso un altro server, ma è sembrato essere un attacco di forza bruta contro OpenSSH. Un attacco a forza bruta è dove un hacker tenta molte combinazioni di credenziali di autenticazione per ottenere l'accesso a un server. Se un amministratore sta usando sta utilizzando semplici login e password, rende un server più vulnerabile a un attacco a forza bruta, ha detto Zdrnja.

Entrambi i server compromessi sono stati gestiti dalla stessa persona. "Suppongo che ciò di cui abbiamo a che fare qui sono due hacker in una guerra tra loro", ha detto Zdrnja.

Ma ci sono altri fattori che indicano che un open-day zero non esiste. Se esistesse lo zero-day, gli hacker sarebbero probabilmente più propensi a usarlo contro un server di più alto profilo rispetto a quello più recente che è stato compromesso, ha detto Zdrnja.

Anche uno degli sviluppatori di OpenSSH, Damien Miller, ha gettato acqua fredda sulla possibilità di un giorno zero. Miller ha scritto su un forum OpenSSH mercoledì che ha scambiato messaggi di posta elettronica con una presunta vittima dello zero-day, ma gli attacchi sembravano essere "semplice forza bruta".

"Quindi, non sono convinto che un il giorno zero esiste ", ha scritto Miller. "Le uniche prove finora sono alcune voci anonime e trascrizioni di intrusioni non verificabili."

Sembra anche che ci sia una certa confusione tra il presunto zero-day e una diversa vulnerabilità in OpenSSH, ha detto Zdrnja. Tale vulnerabilità, che non è ancora stata applicata, potrebbe consentire a un utente malintenzionato di recuperare fino a 32 bit di testo semplice da un blocco arbitrario di testo cifrato da una connessione protetta mediante il protocollo SSH nella configurazione standard, secondo un avviso del Regno Unito " s Centro per la protezione delle infrastrutture nazionali (CPNI).

La gravità della vulnerabilità è considerata elevata, ma la probabilità di sfruttamento di successo è bassa, secondo CPNI. Zdrnja ha detto che gli amministratori possono implementare meccanismi di autenticazione più potenti in OpenSSH usando chiavi pubbliche e private per proteggersi da un attacco di successo. In una consulenza, OpenSSH ha anche affermato che la possibilità di un attacco riuscito era bassa.