Heartbleed

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Sigla reprezentând Heartbleed. Firma de securitate Codenomicon i-a dat lui Heartbleed atât un nume, cât și un logo, contribuind la creșterea gradului de conștientizare a publicului cu privire la problemă. [1] [2]

Heartbleed este un bug de securitate din biblioteca criptografică OpenSSL , care este o implementare pe scară largă a protocolului Transport Layer Security (TLS). A fost introdus în software în 2012 și deschis publicului în aprilie 2014. Heartbleed ar putea fi pârghiat, indiferent dacă instanța OpenSSL rulează ca server TLS sau client. Este rezultatul validării necorespunzătoare a intrării (din cauza lipsei verificării limitelor ) în implementarea extensiei de bătăi a inimii protocolului TLS, [3] de unde și numele erorii. [2] Vulnerabilitatea este clasificată ca o supra-citire a tamponului, [4] o situație în care se citesc mai multe date decât ar trebui permise. [5]

Heartbleed este înregistrat în baza de date Common Vulnerabilities and Exposures ca CVE-2014-0160. [4] Centrul canadian de răspuns la incidente cibernetice a lansat o versiune de securitate care avertizează administratorii de sistem cu privire la eroare. [5] O versiune corectată a OpenSSL a fost lansată pe 7 aprilie 2014, în aceeași zi în care Heartbleed a fost lansat publicului.

Începând cu 20 mai 2014, 1,5% din cele mai populare 800.000 de site-uri cu TLS active erau încă vulnerabile la Heartbleed. [6] În ianuarie 2020, potrivit raportului lui Shodan , Italia era pe locul șapte - în lume - pentru cantitatea de servere încă vulnerabile (2858; China, pe locul al doilea, avea încă 8655). [7]

Alte implementări TLS în afară de OpenSSL, cum ar fi GnuTLS, Serviciul de securitate a rețelei Mozilla și platformele de implementare Windows TLS, nu au fost niciodată afectate de eroare, deoarece defectul a existat doar în implementarea TLS a OpenSSL mai mult decât în ​​protocolul în sine pentru el însuși. [8]

Istorie

Extensia Heartbeat pentru Transport Layer Security (TLS) și Datagram Transport Layer Security (DTLS) a fost propusă ca standard în februarie 2012 de RFC 6520 . [9] Oferă o modalitate de a testa și de a menține conexiunile de comunicații sigure în viață, fără a fi nevoie să renegociați conexiunea de fiecare dată. În 2011, unul dintre autorii RFC, Robin Seggelmann, pe atunci doctorand la Fachhochschule Münster, a implementat extensia Heartbeat pentru OpenSSL. Ulterior, Seggelmann a cerut să pună rezultatele muncii sale în OpenSSL, iar modificările sale au fost revizuite de Stephen N. Henson, unul dintre cei patru dezvoltatori principali ai OpenSSL. [10] [11] [12] Henson nu a observat eroarea în implementarea lui Seggelmann și a introdus codul defect în depozitul de coduri sursă OpenSSL la 31 decembrie 2011. Defectul s-a răspândit odată cu lansarea versiunii 1.0.1 a OpenSSL începând cu luna martie. 14, 2012. Suportul Heartbeat a fost activat în mod implicit, lăsând vulnerabile versiunile afectate. [13] [14] [15]

Descoperire

Potrivit lui Mark J. Cox de la OpenSSL, Neel Mehta din echipa de securitate Google a raportat în secret Heartbleed la 1 aprilie 2014 la 11:09 UTC. [16]

Bug-ul a fost numit de un inginer de la Codenomicon, o companie finlandeză de securitate cibernetică, care a creat, de asemenea, sigla sângerării inimii și a fondat domeniul heartbleed.com pentru a explica bug-ul publicului. [17] În timp ce echipa de securitate a raportat pentru prima dată Heartbleed către OpenSSL, atât Google, cât și Codenomicon l-au descoperit independent cam în același timp. [13] [18] [19] Codenomicon raportează 3 aprilie 2014 ca data descoperirii și notificării către Centrul Național de Securitate Cibernetică din Finlanda (NCSC-FI) pentru coordonarea vulnerabilităților. [13] [20]

La momentul dezvăluirii, aproximativ 17% (aproximativ jumătate de milion) de servere web securizate pe internet certificate de Autoritatea de certificare au devenit vulnerabile la atac, permițând furtul de chei private ale serverului și cookie-uri de sesiune și parole de utilizator. [21] [22] [23] [24] [25] Electronic Frontier Foundation, [26] Ars Technica [27] și Bruce Schneier [28] au descoperit că bugul Heartbleed este catastrofal. Cronicarul Joseph Steinberg, de la Forbes, a scris:

Unii ar putea crede că Heartbleed este cea mai gravă vulnerabilitate care a existat vreodată (cel puțin în ceea ce privește impactul său potențial) de când traficul comercial a început să curgă pe internet. [29]

Un purtător de cuvânt al Cabinetului britanic a recomandat ca:

Oamenii ar trebui să ia act de schimbarea parolelor site-urilor pe care le folosesc.

Majoritatea site-urilor au remediat eroarea și sunt în cea mai bună poziție pentru a sfătui ce măsuri ar trebui să ia, dacă este cazul, oamenii. [30]

În ziua revelației, Proiectul Tor a sfătuit:

Dacă aveți nevoie de un puternic anonimat sau confidențialitate pe internet, vă recomandăm să stați departe de internet pentru următoarele zile până când lucrurile se vor rezolva. [31]

Sydney Morning Herald a lansat o cronologie a descoperirii pe 15 aprilie 2014, arătând că unele organizații au putut remedia eroarea înainte de anunțul public. În unele cazuri, nu este clar cum au aflat. [29]

Remediere bug și implementare

Google Bodo Moeller și Adam Langley au pregătit soluția pentru Heartbleed. Patch-ul rezultat a fost adăugat la urmăritorul de probleme al Red Hat pe 21 martie 2014. [30] Stephen N. Henson a reparat sistemul de control al versiunii OpenSSL pe 7 aprilie a acelui an. [31] Prima versiune corectată, 1.0.1g, a fost lansată în aceeași zi. Începând cu 21 iunie 2014, 309.197 servere web publice erau încă vulnerabile. [32]

Reînnoirea certificatelor și revocărilor

Potrivit Netcraft, aproximativ 30.000 din cele peste 500.000 de certificate X.509 care ar putea fi compromise din cauza Heartbleed au fost republicate pe 11 aprilie 2014, deși unele au fost revocate. [33]

La 9 martie 2014, doar 43% dintre site-urile web afectate și-au republicat certificatele; în plus, 7% din certificatele de securitate republicate foloseau în continuare chei care ar putea fi compromise. Netcraft a comentat:

Odată cu refolosirea acelorași chei private, un site care a fost afectat de eroarea Heartbleed continuă să aibă același risc ca și cele care nu și-au înlocuit încă certificatele SSL. [34]

eWeek a spus:

[Hearbleed este] probabil un risc care va rămâne luni de zile, dacă nu chiar ani. [35]

Exploatare

Agenția pentru venituri din Canada a raportat un furt de numere de asigurări sociale aparținând a 900 de contribuabili și a spus că este posibil prin exploatarea erorii într-o perioadă de 6 ore pe 8 aprilie 2014. [36] După descoperire, agenția și-a închis site-ul și a extins termenul de depunere a contribuabililor de la 30 aprilie la 5 mai. [37] Agenția a declarat că va oferi gratuit servicii de protecție a creditelor celor afectați de furt. La 16 aprilie, RCMP a anunțat că au acuzat un student de inginerie informatică în legătură cu furtul neautorizat al unui computer și răutate în legătură cu datele. [34] [38]

Site-ul britanic Mumsnet a avut multe conturi de utilizator deturnate, iar CEO-ul său a fost suplinit de un utilizator rău intenționat. [39] Site-ul a publicat ulterior o explicație a incidentului, spunând că a fost cauzat de Heartbleed și a fost remediat cu promptitudine de către personalul tehnic. [40]

Cercetătorii anti-malware au folosit Heartbleed în avantajul lor pentru a accesa forumurile secrete folosite de infractorii cibernetici. [41] De asemenea, au fost efectuate studii folosind mașini deliberat vulnerabile. De exemplu, pe 12 aprilie 2014, cel puțin doi cercetători independenți au reușit să fure chei private de pe un server experimental special creat de CloudFlare. [42] [43] Profesorul J. Alex Halderman de la Universitatea din Michigan a raportat ulterior, la 15 aprilie 2014, că serverul său de poturi de miere, un server deliberat vulnerabil folosit pentru a analiza atacurile, a primit numeroase atacuri provenind din China. Halderman a ajuns la concluzia că, din moment ce serverul era bine ascuns, acele atacuri erau la scară largă și afectau zone extinse ale internetului. [44]

În august 2014, s-a făcut public faptul că vulnerabilitatea Heartbleed a permis hackerilor să fure cheile de securitate de la Community Health Systems, al doilea lanț de spitale cu cel mai mare profit din Statele Unite, compromitând datele confidențiale ale 4,5 milioane de pacienți. Încălcarea a avut loc la o săptămână după ce Heartbleed a fost făcut public. [45]

Posibile cunoștințe și exploatare anterioară

Multe site-uri web importante au remediat eroarea sau au dezactivat Heartbeat în câteva zile de la anunț [46] , dar nu este clar dacă exploatarea era deja cunoscută de potențiali hackeri și în ce măsură a fost exploatată.

Pe baza examinării jurnalelor cercetătorilor, sa raportat că unii atacatori ar fi putut exploata vulnerabilitatea cu cel puțin cinci luni înainte de descoperirea și anunțarea acesteia. [47] [48] Errata Security a subliniat că un program non-rău intenționat utilizat pe scară largă numit Massacan, introdus cu șase luni înainte de revelația Heartbleed, renunță brusc la conexiune în timpul strângerii de mână în același mod ca Heartbleed, generând aceleași mesaje jurnal, adăugând „Două lucruri noi care produc aceleași mesaje de eroare ar putea părea că cele două sunt legate, dar evident că nu sunt. [49] "

Potrivit Bloomber News, două surse necunoscute din interior au raportat că Agenția de Securitate Națională a SUA a fost la curent cu defectul la scurt timp după ce a apărut, dar, în loc să îl raporteze, l-a păstrat secret împreună cu alte vulnerabilități de zi zero pentru a le exploata pentru daune. scopurile proprii ale ANS. [50] [51] [52] NSA a respins acuzația, [53] potrivit lui Richard A. Clarke, membru al Grupului Național de Revizuire a Informațiilor privind Tehnologiile de Informații și Comunicații, care a revizuit politica de supraveghere electronică a SUA; pe 11 aprilie 2014, el a declarat pentru Reuters că NSA nu știa nimic despre Heartbleed. [54] Acuzația a determinat guvernul SUA să facă o declarație publică cu privire la politica de vulnerabilități de zi zero pentru prima dată, acceptând recomandarea raportului din 2013 al echipei de revizuire că „în practic toate cazurile, prin codul utilizat pe scară largă, este în interesul național de a elimina vulnerabilitățile software mai degrabă decât de a le folosi pentru colecțiile de informații americane ”și spunând că decizia de a le ascunde trebuie să fi trecut de la NSA la Casa Albă. [55]

Comportament

O descriere a modului în care funcționează Heartbleed

Testele RFC 6520 Hearbeat Extension testează conexiunile TLS / DTLS, permițând unui computer aflat la un capăt al conexiunii să trimită mesaje Heartbeat Request, care constau dintr-o sarcină utilă, de obicei un șir de text, împreună cu lungimea sarcinii utile, ca un întreg de 16 biți. Computerul receptor trebuie apoi să trimită exact aceeași sarcină utilă către expeditor.

Versiunea afectată a OpenSSL alocă un buffer de memorie pentru mesajul care trebuie returnat pe baza lungimii câmpului mesajului de solicitare, indiferent de dimensiunea adevărată a mesajului de încărcare utilă. Datorită eșecului de a regla fin limitele, mesajul de returnare este sarcina utilă, urmat eventual de orice este alocat în memoria tampon.

Heartbleed este apoi exploatat prin trimiterea unei solicitări de bătăi cardiace malformate cu o sarcină utilă mică și un câmp foarte mare către mașina vulnerabilă (de obicei un server) pentru a provoca un răspuns din partea victimei, permițând atacatorului să citească până la 64 kilobyte din memorie a victimei care cel mai probabil fusese folosită recent de protocolul OpenSSL. [56] În cazul Heartbeat, o cerere este trimisă destinatarului tipului „trimite-mi înapoi cuvântul cu patru litere„ pasăre ”, ceea ce are ca rezultat„ pasăre ”, în timp ce în cazul Heartbleed un cererea rău intenționată este trimisă de la „trimiteți-mi înapoi cuvântul de 500 litere„ pasăre ”, care provoacă un răspuns din partea victimei constând dintr-un cuvânt format din„ pasăre ”și alte 496 de caractere conținute în memoria tampon. Procedând astfel, atacatorii pot obține date sensibile, compromitând confidențialitatea comunicărilor victimei. Deși un atacator are un control bun asupra dimensiunii blocului de memorie expus, el nu are control asupra locației sale și, prin urmare, nu poate alege ce conținut va fi dezvăluit.

Versiunile afectate ale OpenSSL

Versiunile afectate ale OpenSSL variază de la versiunea 1.0.1 până la versiunea 1.0.1f (inclusă). Următoarele versiuni (1.0.1g [57] în continuare) și anterioare (1.0.0 și mai vechi) nu sunt vulnerabile. [58] Instalările versiunilor afectate sunt vulnerabile, cu excepția cazului în care OpenSSL este compilat cu: DOPENSSL_NO_HEARTBEATS. [59] [60]

Programe și funcții vulnerabile

Fișierele sursă ale programelor vulnerabile sunt t1_lib.c și d1_both.c, iar funcțiile vulnerabile sunt tls1_process_heartbeat () și dtls_process_heartbeat (). [61] [62]

Plasture

Problema poate fi rezolvată ignorând mesajele Heartbeat Request care solicită mai multe date decât cele necesare pentru sarcinile utile. Versiunea 1.0.1g a OpenSSL adaugă câteva verificări de limită pentru a preveni supra-citirea bufferului. De exemplu, următorul test a fost introdus pentru a determina dacă o solicitare a bătăilor inimii declanșează Heartbleed; aruncă în tăcere cererile rău intenționate.

 if ( 1 + 2 + sarcină utilă + 16 > s -> s3 -> lungime rec . ) returnează 0 ; / * aruncați silențios pentru RFC 6520 sec. 4 * /

Sistemul de control al versiunii conține o listă completă a modificărilor. [31]

Impact

Datele obținute dintr-un atac Heartbleed pot include schimburi necriptate între părțile TLS, care pot fi confidențiale, inclusiv date din cererile POST ale formularelor completate de utilizator. În plus, datele confidențiale expuse pot include, de asemenea, date secrete de autentificare, cum ar fi cookie-urile de sesiune și parolele, care ar putea permite atacatorilor să suplinească identitatea unui utilizator al serviciului. [63]

Un atac ar putea dezvălui, de asemenea, cheile private ale părților compromise, [13] [15] [64], care ar putea permite atacatorului să decripteze comunicațiile (traficul viitor sau trecut capturat de ascultarea pasivă, cu excepția cazului în care se folosește un secret perfect înaintarea, în care doar traficul viitor poate fi decriptat dacă este interceptat de atacuri om-în-mijloc).

Un atacator care a obținut autentificarea necesară ar putea identifica utilizatorul după ce victima a remediat eroarea Heartbleed, în cazul în care materialul de autentificare este încă valabil (de exemplu, până când parola este schimbată sau cheia privată nu este revocată). Cu toate acestea, Heartbleed constituie o amenințare critică pentru confidențialitate. Apoi, un atacator care imita o victimă ar putea, de asemenea, să modifice datele. În mod indirect, consecințele Heartbleed ar putea depăși cu mult încălcarea confidențialității pentru multe sisteme. [64]

Un sondaj adulților americani din aprilie 2014 a arătat că 60% au auzit de Heartbleed. Dintre cei care folosesc internetul, 39% își protejaseră contul online, de exemplu prin schimbarea parolei sau ștergerea contului; 29% au considerat că informațiile lor personale au fost puse în pericol din cauza bug-ului Heartbleed; 6% au considerat că informațiile lor personale au fost furate. [65]

Vulnerabilitatea clientului

Deși eroarea a primit multă atenție din cauza amenințării pe care o reprezenta pentru servere, [66] clienții TLS care foloseau instanțele afectate de OpenSSL erau încă vulnerabili. Cu ceea ce The Guardian a numit apoi Reverse Heartbleed, serverele rău intenționate pot profita de Heartbleed pentru a citi date din memoria unui client vulnerabil. [67] Cercetătorul în securitate Steve Gibson a spus despre Heartbleed:

Aceasta nu este doar o vulnerabilitate pe partea de server, ci este și o vulnerabilitate pe partea de client, deoarece serverul sau orice dispozitiv la care este conectat este, de asemenea, capabil să îi adreseze clientului o solicitare de ritm cardiac la fel de mult pe cât este capabil să facă clientul aceasta. [68]

Datele furate pot conține nume de utilizator și parolă. [69] Reverse Heartbleed a afectat milioane de instanțe ale aplicației. [67] Unele dintre aplicațiile vulnerabile sunt listate în secțiunea „Aplicații software” de mai jos.

Sisteme specifice afectate

Cisco Systems a identificat 78 dintre produsele sale ca fiind vulnerabile, inclusiv sisteme de telefonie IP și sisteme de telepresență (videoconferință). [70]

Site-uri web și alte servicii online

O analiză postată pe GitHub a celui mai vizualizat site web pe 8 aprilie 2014 a relevat vulnerabilități pe site-uri, inclusiv Yahoo!, Imgur, Stack Overflow, Slate și DuckDuckGo. [46] [71] Următoarele site-uri au afectat serviciile sau au făcut anunțuri recomandând utilizatorilor să își actualizeze parolele ca răspuns la eroare:

Guvernul federal canadian a închis temporar serviciile online ale Agenției pentru venituri din Canada (CRA) și a mai multor departamente guvernamentale care se ocupă de eroarea Heartbleed. [96] [97]

Administratorii platformei precum Wikimedia Foundation și-au sfătuit utilizatorii să schimbe parolele. [98]

Serverele LastPass erau vulnerabile, [99] dar datorită criptării suplimentare și a secretului de redirecționare, potențialii atacatori nu au putut să exploateze bug-ul. Cu toate acestea, LastPass a recomandat utilizatorilor să actualizeze parolele pentru site-urile vulnerabile. [100]

Proiectul Tor a recomandat ca transmițătoarele Tor și serviciile ascunse să revoce și să genereze noi chei după aplicarea OpenSSL, dar a remarcat că transmițătoarele Tor folosesc două seturi de chei și că designul multi-hop al lui Tor minimizează impactul exploatării unui singur transmițător. 586 de emițătoare care au fost descoperite ulterior vulnerabile la eroarea Heartbleed au fost luate offline ca măsură de precauție.

Serviciile legate de jocuri, cum ar fi Steam, Minecraft, Wargaming.net, League of Legends, GOG.com, Origin, Sony Online Entertainment, Humble Bundle și Path of Exile au fost afectate, dar au fost remediate imediat.

Aplicații software

Aplicațiile software vulnerabile includ:

  • Unele aplicații de server Hewlett-Packard, cum ar fi HP System Management Homepage (SMH) pentru Linux și Windows.
  • Unele versiuni ale FileMaker 13.
  • LibreOffice 4.2.0 până la 4.2.2 (fixat la 4.2.3).
  • LogMeIn a anunțat că a „actualizat multe produse și părți ale serviciilor noastre care se bazează pe OpenSSL”.
  • Multe produse McAfee, în special unele versiuni de software care oferă acoperire antivirală pentru Microsoft Exchange, firewall-uri software și gateway-uri Web de e-mail și web McAfee.
  • MySQL Workbench 6.1.4 și versiuni anterioare.
  • Oracle MySQL Connector / C 6.1.0-6.1.3 și Connector / ODBC 5.1.13, 5.2.5-5.2.6, 5.3.2.
  • Oracle Big Data Appliance (inclusiv Oracle Linux 6)
  • Management de proiect profesional Primavera P6 (inclusiv managementul portofoliului de proiecte Enterprise Primavera P6)
  • WinSCP (client FTP pentru Windows) 5.5.2 și unele versiuni anterioare (vulnerabile numai cu FTP peste TLS / SSL, fixate în 5.5.3)
  • Multe versiuni ale produselor VMware, inclusiv VMware ESXi 5.5, VMware Player 6.0, VMware Workstation 10 și seria Horizon de produse, emulatoare și suite de cloud computing.

Au fost afectate alte aplicații Oracle Corporation.

Firmware și sisteme de operare

Unele versiuni GNU / Linux au fost afectate, inclusiv Debian (și derivate precum Linux Mint și Ubuntu) și Red Hat Enterprise Linux (și derivate precum CentOS, Oracle Linux 6 și Amazon Linux), precum și următoarele sisteme de operare și firmware:

  • Android 4.1.1, utilizat pe diferite dispozitive portabile. Chris Smith scrie în Boy Genius Report că doar această versiune de Android este afectată, dar, din păcate, este o versiune populară a Android (Chikita declară că 4.1.1 este pe 50 de milioane de dispozitive; Google spune în schimb că este mai puțin de 10% din Android activ dispozitive). Alte versiuni de Android nu sunt vulnerabile, deoarece au Heartbeat dezactivat sau utilizează o versiune neafectată a OpenSSL.
  • Firmware pentru unele stații de bază și AirPort.
  • Firmware pentru unele routere Cisco Systems
  • IPCop 2.1.3 și unele versiuni anterioare (fixate în 2.1.4).
  • pfSense 2.1.0 și 2.1.1 (fixat în 2.1.2).
  • Versiunile DD-WRT între 19163 și 23881 inclusiv (plasate în 23882).
  • Produse de familie pentru firmware-ul Western Digital My Cloud.

Servicii de testare a vulnerabilității

Unele servicii au fost puse la dispoziție pentru a testa dacă un anumit site este afectat de Heartbleed. Cu toate acestea, multe servicii au susținut că sunt ineficiente în detectarea erorii. Instrumentele disponibile includ:

  • Tripwire SecureScan
  • AppCheck - Scanner static binar Codenomicon
  • Analiza de securitate Pravail a Arbor Network
  • Instrumentul de verificare Norton Safeweb Heartbleed
  • Un instrument de testare pentru Heartbleed de la o companie italiană
  • Heartbleed Scanner de criptologul italian Filippo Valsorda
  • Testul de vulnerabilitate al sângerării inimii Cyberoam
  • Critical Watch Free Online Heartbleed Tester
  • Modul de scanare Metasploit Heartbleed
  • Rehmann Heartbleed Server Scanner
  • Detector Heartbleed Lookout Mobile Security, aplicație pentru dispozitive Android care determină versiunea OpenSSL și indică dacă este activată vulnerabilitatea Heartbeat
  • Checkerul LastPass heartbleed
  • Scaner de gamă de rețea online pentru vulnerabilitatea Pentest-Tools.com
  • Scanner offline offline RedHat scris în Python
  • Testul serverului SSL al Qualys SSL Labs, care nu este util doar pentru eroarea Heartbleed, ci caută și alte erori de implementare SSL / TLS.
  • Extensii de browser precum Chromebleed și FoxBleed
  • Diagnostic SSL
  • Scanner CrowdStrike Heartbleed care scanează routerele, imprimantele și alte dispozitive conectate dintr-o rețea, inclusiv site-urile intranet.
  • Raportul site-ului Netcraft care indică dacă confidențialitatea unui site web ar putea fi compromisă din cauza exploatării anterioare a Heartbleed prin verificarea datelor din sondajul SSL al Netcraft pentru a determina dacă un site a oferit extensia TLS a bătăilor inimii înainte de dezvăluirea Heartbleed. Extensiile Netcraft pentru Chrome, Firefox și Opera efectuează, de asemenea, această verificare, în timp ce caută certificate potențial compromise.

Alte instrumente de securitate au adăugat suport pentru găsirea acestei erori. De exemplu, Tenable Network Security a scris un plugin pentru scanerul său de vulnerabilități Nessus care poate găsi această încălcare. Scanerul de securitate Nmap include un script de căutare pentru Heartbleed de la versiunea 6.45.

Sourcefire a lansat reguli Snort pentru detectarea traficului de atac Heartbleed și a posibilului trafic de răspuns Heartbleed. Programele open source de analiză a pachetelor precum Wireshark și tcpdump pot identifica pachetele Heartbleed folosind filtre de pachete specifice BPF care pot fi utilizate pe capturile de pachete arhivate sau pe traficul live.

Remedii

Vulnerabilitatea Heartbleed este abordată prin actualizarea OpenSSL la o versiune corecționată (1.0.1g sau mai recentă). OpenSSL poate fi utilizat atât ca program autonom, cât și ca bibliotecă de legături dinamice; în acest fel, actualizarea poate necesita repornirea proceselor încărcate cu o versiune vulnerabilă a OpenSSL și reconectarea programelor și bibliotecilor care sunt legate static de acesta. În practică, acest lucru înseamnă că pachetele care sunt conectate static la OpenSSL sunt actualizate și repornirea programelor de lucru pentru a elimina copia în memoria versiunii vechi și vulnerabile a OpenSSL.

După ce vulnerabilitatea este reparată, administratorul serverului trebuie să anunțe încălcarea potențială a confidențialității. Deoarece Heartbleed le-a permis atacatorilor să descopere chei private, acestea trebuie tratate ca și cum ar fi fost compromise; perechile de chei trebuie regenerate și certificatele care le utilizează trebuie să fie reemise; certificatele vechi trebuie revocate. Heartbleed are, de asemenea, posibilitatea de a fi expus alte secrete conținute în memorie; pentru aceasta alte materiale de autentificare (cum ar fi parolele) trebuie schimbate. Rareori este posibil să se confirme că un sistem afectat de erori nu a fost compromis sau să se determine dacă nu s-au scurs informații specifice.

Deoarece este dificil sau chiar imposibil să se determine dacă acreditările pot fi sau nu compromise și cum ar fi putut fi folosite de un atacator, unele sisteme pot necesita remedieri suplimentare chiar și după corectarea vulnerabilității și înlocuirea acreditărilor. De exemplu, semnăturile făcute de tastele care erau utilizate cu versiunea vulnerabilă a OpenSSL ar fi putut fi făcute cu ușurință de către un atacator; acest lucru crește probabilitatea că integritatea sistemului a fost încălcată și deschide semnături pentru respingere. Validarea semnăturilor și legitimitatea altor tipuri de autentificare efectuate cu chei potențial compromise (cum ar fi utilizarea certificatului de client) trebuie făcute în ceea ce privește sistemul specific implicat.

Conștientizarea revocării certificatului de securitate al browserului

Deoarece Heartbleed a amenințat confidențialitatea cheilor private, utilizatorii unui site web compromis pot continua să sufere de efectele Heartbleed până când browserul este informat despre revocarea certificatelor sau expiră certificatele compromise. Din acest motiv, remedierea depinde și de faptul că utilizatorii utilizează browsere cu liste actualizate de revocare a certificatelor (sau asistență OCSP) și revizuiri ale certificatelor de onoare.

Principalele cauze, posibile lecții și reacții

Deși este dificil de estimat daunele totale cauzate de Heartbleed, eWEEK estimează un punct de plecare de 500 USD.

Lucrarea lui David A. Wheeler intitulată How to Prevent next Heartbleed analizează de ce Heartbleed nu a fost descoperit mai devreme și promovează unele tehnici care ar fi putut duce la descoperiri mai rapide, precum și tehnici care i-ar fi putut diminua impactul. Potrivit lui Wheeler, cel mai eficient mod care ar fi putut împiedica acest lucru este cu o suită de teste atipică care rulează cu exactitate ceea ce numește teste negative, adică să testeze că intrările nevalide nu trebuie să aibă succes. Wheeler subliniază modul în care o singură suită de testare generală ar fi utilă ca bază pentru orice implementare TLS.

Potrivit unui articol scris de Robert Merkel, The Conversation, Heartbleed a dezvăluit un eșec masiv în analiza riscurilor. Merkel crede că OpenSSL acordă mai multă importanță performanței decât securității, ceea ce, în opinia ei, nu mai are sens. Dar Merkel consideră că OpenSSL nu ar trebui să fie învinuit la fel de mult ca utilizatorii săi, care decid să-l folosească fără a finanța teste și recenzii mai bune. Merkel explică modul în care două aspecte determină riscul ca bug-uri similare să provoace vulnerabilități: primul, codul sursă al bibliotecii, influențează riscul de a scrie bug-uri cu un astfel de impact; al doilea, procesele OpenSSL, afectează șansele de a prinde rapid bug-uri. Pentru primul aspect, Merkel menționează utilizarea limbajului de programare C ca factor de risc care a favorizat apariția Heartbleed, făcând ecou analizei lui Wheeler.

De aceeași parte, Theo de Raadt, fondatorul și liderul OpenBSD și OpenSSH, critică dezvoltatorii OpenSSL pentru că au scris propria lor rutină de gestionare a memoriei și pentru că au ocolit biblioteca C pentru OpenBSD să exploateze contramăsurile. Spunând că „OpenSSL nu este dezvoltat de o echipă responsabilă . " După ce Heartbleed a fost dezvăluit, membrii proiectului OpenBSD au creat o furcă OpenSSL numită LibreSSL.

Modificatorul care a introdus Heartbleed, Robin Seggelmann, a recunoscut că nu a reușit să valideze o variabilă care conține o lungime (a intrării) și a negat orice intenție de a crea o implementare imperfectă. După apariția Heartbleed, Segglemann a sugerat să se concentreze asupra celui de-al doilea aspect, legat de faptul că OpenSSL nu este revizuit de suficiente persoane. Deși munca lui Seggelmann a fost auditată de unul dintre dezvoltatorii principali ai OpenSSL, revizuirea sa concentrat în principal pe verificarea creșterii funcționalității, o condiție care, din păcate, a făcut mai complexă găsirea posibilelor vulnerabilități.

Ben Laurie, dezvoltatorul OpenSSL în cauză, a declarat că o verificare de securitate a OpenSSL ar fi găsit cu siguranță Heartbleed. Inginerul software John Walsh a comentat:

Gândește-te, OpenSSL are doar două persoane [cu normă întreagă] care dezvoltă, întrețin, testează și testează 500.000 de linii de cod critic.

Președintele fondator al OpenSSL, Steve Marquess, a spus: „Misterul nu este acela că câțiva voluntari suprasolicitați nu au observat eroarea; il mistero è come mai ciò non accada più spesso.” David A. Wheeler descrisse le revisioni come un eccellente metodo per trovare vulnerabilità in casi simili, ma notò che “OpenSSL usa strutture complesse non necessarie, che rendono più difficoltoso sia per le persone che per le macchine revisionarlo.” Infatti scrisse:

Dovrebbe esserci un impegno continuo a semplificare il codice, perché altrimenti aggiungendo funzionalità si arriverà lentamente ad avere del software molto complesso. Il codice dovrebbe subire un refactoring nel tempo per renderlo semplice e chiaro, non solo per aggiungere nuove features. L'obbiettivo dovrebbe essere quello di programmare ciò che è “ovviamente giusto”, in opposizione ad un codice che è talmente complicato da “non vederne i problemi”.

LibreSSL ha eseguito una grossa pulizia, rimuovendo più di 90,000 linee di codice in C solamente in una settimana.

Stando a Dan Kaminsky, ricercatore per la sicurezza, Heartbleed è un segno di un problema economico che deve essere sistemato. Vedendo il tempo occupato per trovare questo semplice errore in un ancor più semplice feature di una dipendenza “critica”, Kaminsky teme ancor più vulnerabilità se non viene fatto nulla al riguardo. Quando Heartbleed è stato scoperto, OpenSSL era mantenuto da un insieme di volontari, di cui uno solo lavorava full-time. Le donazioni annuali a OpenSSL erano all'incirca 2,000$ americani. Il sito di Heartbleed di Codenomicon ha consigliato di effettuare donazioni al progetto OpenSSL. Dopo di ciò, per i 2/3 giorni seguenti alla comparsa di Heartbleed le donazioni sono arrivate a 841$ americani; a riguardo, Kaminsky ha commentato “Stiamo costruendo la più importante tecnologia per l'economia globale su un'infrastruttura incredibilmente sottosviluppata.” Il core developer Ben Laurie ha qualificato il progetto come “completamente non finanziato”. Seppur OpenSSL Software Foundation non ha un programma bug bounty, l'iniziativa Internet Bug Bounty ha premiato Neel Mehta di Google con 15,000$ americani per aver scoperto Heartbleed e per averlo reso noto a tutti.

Paul Chiusano ritiene che Heartbleed potrebbe essere il risultato di un fallimento dell'economia software.

La risposta collettiva delle industrie alla crisi fu il Core Infrastructure Initiative, un progetto multimilionario annunciato da Linux Foundation il 24 aprile 2014 per fornire fondi agli elementi critici dell'infrastruttura di informazione globale. L'iniziativa intende consentire agli sviluppatori principali di lavorare a tempo pieno sui loro progetti e pagare per verifiche della sicurezza di infrastrutture software e hardware, viaggi e altre possibili spese. OpenSSL è un candidato a diventare il primo destinatario dei finanziamenti dell'iniziativa.

Dopo averlo scoperto, Google ha fondato Project Zero , che è incaricato di trovare falle zero-day per aiutare a mettere in sicurezza il Web e la società.

Note

  1. ^ What Heartbleed Can Teach The OSS Community About Marketing | Kalzumeus Software , su www.kalzumeus.com . URL consultato il 28 dicembre 2017 .
  2. ^ a b ( EN ) John Biggs, Heartbleed, The First Security Bug With A Cool Logo , in TechCrunch . URL consultato il 28 dicembre 2017 .
  3. ^ Cyberoam Security Advisory – Heartbleed Vulnerability in OpenSSL , su kb.cyberoam.com , 11 aprile 2014. URL consultato il 24 novembre 2014 .
  4. ^ a b ( EN ) CVE - CVE-2014-0160 , su cve.mitre.org . URL consultato il 28 dicembre 2017 .
  5. ^ a b ( EN ) CWE - CWE-126: Buffer Over-read (3.0) , su cwe.mitre.org . URL consultato il 28 dicembre 2017 .
  6. ^ ( EN ) AVG on Heartbleed: It's dangerous to go alone. Take this (an AVG tool) . URL consultato il 28 dicembre 2017 .
  7. ^ Shodan Heartbleed real time report
  8. ^ Microsoft Services unaffected by OpenSSL "Heartbleed" vulnerability - Microsoft Security Blog - Site Home - TechNet Blogs , su blogs.technet.com , 22 giugno 2014. URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 22 giugno 2014) .
  9. ^ ( EN ) Tuexen, Michael, Seggelmann, Robin, Williams, Michael, Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension , su tools.ietf.org . URL consultato il 28 dicembre 2017 .
  10. ^ ( EN ) Ben Grubb, Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately , in The Sydney Morning Herald , 11 aprile 2014. URL consultato il 28 dicembre 2017 .
  11. ^ ( EN ) #2658: [PATCH] Add TLS/DTLS Heartbeats , su rt.openssl.org . URL consultato il 28 dicembre 2017 (archiviato dall' url originale l'8 agosto 2017) .
  12. ^ Meet the man who created the bug that almost broke the Internet . URL consultato il 28 dicembre 2017 .
  13. ^ a b c d ( EN ) Synopsys, Inc. https://www.synopsys.com/ , Heartbleed Bug , su heartbleed.com . URL consultato il 28 dicembre 2017 .
  14. ^ ( EN ) Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping , in Ars Technica . URL consultato il 28 dicembre 2017 .
  15. ^ a b ( EN ) OpenSSL "Heartbleed" bug: what's at risk on the server and what is not , su Hagai Bar-El on Security . URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 13 aprile 2014) .
  16. ^ We've had more than a few press enquiries at OpenSSL about the timeline of th... . URL consultato il 28 dicembre 2017 .
  17. ^ ( EN ) Caitlin Dewey, Why is it called the 'Heartbleed Bug'? , su Washington Post , 9 aprile 2014. URL consultato il 28 dicembre 2017 .
  18. ^ ( EN ) Who discovered the vulnerability? , in Vox , 10 aprile 2014. URL consultato il 28 dicembre 2017 .
  19. ^ ( EN ) How Codenomicon Found The Heartbleed Bug Now Plaguing The Internet - ReadWrite , in ReadWrite , 13 aprile 2014. URL consultato il 28 dicembre 2017 .
  20. ^ ( FI ) Näin suomalaistutkijat löysivät vakavan vuodon internetin sydämestä , in Ilta-Sanomat , 10 aprile 2014. URL consultato il 28 dicembre 2017 .
  21. ^ ( EN ) Half a million widely trusted websites vulnerable to Heartbleed bug | Netcraft , su news.netcraft.com . URL consultato il 28 dicembre 2017 .
  22. ^ ( EN ) Nicole Perlroth e Quentin Hardy, Heartbleed Flaw Could Reach to Digital Devices, Experts Say , in The New York Times , 10 aprile 2014. URL consultato il 28 dicembre 2017 .
  23. ^ ( EN ) Brian X. Chen, Q. and A. on Heartbleed: A Flaw Missed by the Masses , in Bits Blog . URL consultato il 28 dicembre 2017 .
  24. ^ ( EN ) Molly Wood, Flaw Calls for Altering Passwords, Experts Say , in The New York Times , 9 aprile 2014. URL consultato il 28 dicembre 2017 .
  25. ^ ( EN ) Farhad Manjoo, Users' Stark Reminder: As Web Grows, It Grows Less Secure , in The New York Times , 9 aprile 2014. URL consultato il 28 dicembre 2017 .
  26. ^ ( EN ) Yan Zhu, Why the Web Needs Perfect Forward Secrecy More Than Ever , in Electronic Frontier Foundation , 8 aprile 2014. URL consultato il 28 dicembre 2017 .
  27. ^ ( EN ) Critical crypto bug exposes Yahoo Mail, other passwords Russian roulette-style , in Ars Technica . URL consultato il 28 dicembre 2017 .
  28. ^ Heartbleed - Schneier on Security , su www.schneier.com . URL consultato il 28 dicembre 2017 .
  29. ^ a b ( EN ) Joseph Steinberg, Massive Internet Security Vulnerability -- Here's What You Need To Do , in Forbes . URL consultato il 28 dicembre 2017 .
  30. ^ a b ( EN ) Leo Kelion, US warns of Heartbleed bug danger , in BBC News , 11 aprile 2014. URL consultato il 28 dicembre 2017 .
  31. ^ a b c ( EN ) OpenSSL bug CVE-2014-0160 | Tor Blog , su blog.torproject.org . URL consultato il 28 dicembre 2017 .
  32. ^ 300k vulnerable to Heartbleed two months later , su blog.erratasec.com . URL consultato il 28 dicembre 2017 .
  33. ^ ( EN ) Heartbleed certificate revocation tsunami yet to arrive | Netcraft , su news.netcraft.com . URL consultato il 28 dicembre 2017 .
  34. ^ a b ( EN ) Keys left unchanged in many Heartbleed replacement certificates! | Netcraft , su news.netcraft.com . URL consultato il 28 dicembre 2017 .
  35. ^ ( EN ) Heartbleed Still a Threat to Hundreds of Thousands of Servers , in eWEEK . URL consultato il 28 dicembre 2017 .
  36. ^ ( EN ) RCMP says it asked Revenue Canada to delay announcing stolen SINs , in CBC News . URL consultato il 28 dicembre 2017 .
  37. ^ ( EN ) Canada Revenue Agency pushes tax deadline to May 5 after Heartbleed bug - ILSTV.com , in ILSTV.com , 14 aprile 2014. URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 4 novembre 2014) .
  38. ^ ( EN ) First Heartbleed 'hacker' arrested , in BBC News , 16 aprile 2014. URL consultato il 28 dicembre 2017 .
  39. ^ ( EN ) Leo Kelion, Heartbleed hackers hit Mumsnet , in BBC News , 14 aprile 2014. URL consultato il 28 dicembre 2017 .
  40. ^ ( EN ) Mumsnet and Heartbleed as it happened . URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 29 dicembre 2017) .
  41. ^ ( EN ) Mark Ward, Heartbleed used against net thieves , in BBC News , 29 aprile 2014. URL consultato il 28 dicembre 2017 .
  42. ^ ( EN ) Cloudflare Challenge proves 'worst case scenario' for Heartbleed is actually possible , in Engadget . URL consultato il 28 dicembre 2017 .
  43. ^ Heartbleed Challenge , su cloudflarechallenge.com , 12 aprile 2014. URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 12 aprile 2014) .
  44. ^ ( EN ) Jordan Robertson, Hackers from China waste little time in exploiting Heartbleed , in The Sydney Morning Herald , 16 aprile 2014. URL consultato il 28 dicembre 2017 .
  45. ^ Report: Devastating Heartbleed Flaw Was Used in Hospital Hack , su Time . URL consultato il 28 dicembre 2017 .
  46. ^ a b ( EN ) Heartbleed bug: Check which sites have been patched , in CNET . URL consultato il 28 dicembre 2017 .
  47. ^ ( EN ) Heartbleed vulnerability may have been exploited months before patch [Updated] , in Ars Technica . URL consultato il 28 dicembre 2017 .
  48. ^ ( EN ) Peter Eckersley, Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013? , in Electronic Frontier Foundation , 10 aprile 2014. URL consultato il 28 dicembre 2017 .
  49. ^ No, we weren't scanning for hearbleed before April 7 , su blog.erratasec.com . URL consultato il 28 dicembre 2017 .
  50. ^ NSA Said to Have Used Heartbleed Bug, Exposing Consumers , in Bloomberg.com , 12 aprile 2014. URL consultato il 28 dicembre 2017 .
  51. ^ ( EN ) NSA denies report it exploited Heartbleed for years , in USA TODAY . URL consultato il 28 dicembre 2017 .
  52. ^ ( EN ) NSA exploited Heartbleed bug for two years to gather intelligence, sources say , in Financial Post , 11 aprile 2014. URL consultato il 28 dicembre 2017 .
  53. ^ ( EN ) IC ON THE RECORD • Statement on Bloomberg News story that NSA knew... , in IC ON THE RECORD . URL consultato il 28 dicembre 2017 .
  54. ^ White House, spy agencies deny NSA exploited 'Heartbleed' bug , in Reuters , Fri Apr 11 21:59:06 UTC 2014. URL consultato il 28 dicembre 2017 .
  55. ^ ( EN ) US Gov Insists It Doesn't Stockpile Zero-Day Exploits to Hack Enemies , in WIRED . URL consultato il 28 dicembre 2017 .
  56. ^ ( EN ) Everything you need to know about the Heartbleed SSL bug , in Troy Hunt , 8 aprile 2014. URL consultato il 28 dicembre 2017 .
  57. ^ ( EN ) git.openssl.org Git - openssl.git/log , su web.archive.org . URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 15 aprile 2014) .
  58. ^ ( EN ) Spiceworks, Inc., Cyberoam Users Need not Bleed over Heartbleed Exploit , su The Spiceworks Community . URL consultato il 28 dicembre 2017 .
  59. ^ OpenSSL Security Advisory [07 Apr 2014] ( TXT ), su openssl.org .
  60. ^ ( EN ) Heartbleed Bug | Comodo Urges OpenSSL Users to Apply Patch , in Comodo News and Internet Security Information , 9 aprile 2014. URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 5 luglio 2014) .
  61. ^ Cyberoam Users Need not Bleed over Heartbleed Exploit | Cyberoam : Securing You , su cyberoam.com , 15 aprile 2014. URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 15 aprile 2014) .
  62. ^ OpenSSL - Dev - tls1_process_heartbeat/dtls1_process_heartbeat don't check RAND_pseudo_bytes return value , su openssl.6102.n7.nabble.com . URL consultato il 28 dicembre 2017 .
  63. ^ ( EN ) Paweł Krawczyk, Why Heartbleed is dangerous? Exploiting CVE-2014-0160 , su IPSec.pl , 8 aprile 2014. URL consultato il 28 dicembre 2017 (archiviato dall' url originale il 31 agosto 2018) .
  64. ^ a b Searching for The Prime Suspect: How Heartbleed Leaked Private Keys , in Cloudflare Blog , 27 aprile 2014. URL consultato il 28 dicembre 2017 .
  65. ^ ( EN ) Heartbleed's Impact , in Pew Research Center: Internet, Science & Tech , 30 aprile 2014. URL consultato il 28 dicembre 2017 .
  66. ^ ( EN ) Reverse Heartbleed puts your PC and devices at risk of OpenSSL attack , in PCWorld . URL consultato il 28 dicembre 2017 .
  67. ^ a b ( EN ) Charles Arthur, Heartbleed makes 50m Android phones vulnerable, data shows , in The Guardian , 15 aprile 2014. URL consultato il 28 dicembre 2017 .
  68. ^ ( EN ) Security Now 451 TrueCrypt & Heartbleed Part 2 | TWiT.TV , su TWiT.tv . URL consultato il 28 dicembre 2017 .
  69. ^ ( EN ) 'Reverse Heartbleed' can attack PCs and mobile phones , in SC Media US , 24 aprile 2014. URL consultato il 28 dicembre 2017 .
  70. ^ ( EN ) OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products , su tools.cisco.com . URL consultato il 28 dicembre 2017 .
  71. ^ Mustafa Al-Bassam, heartbleed-masstest: Multi-threaded tool for scanning many hosts for CVE-2014-0160 , 23 dicembre 2017. URL consultato il 28 dicembre 2017 .
  72. ^ Heartbleed FAQ: Akamai Systems Patched , Akamai Technologies , 8 aprile 2014.
  73. ^ AWS Services Updated to Address OpenSSL Vulnerability , Amazon Web Services , 8 aprile 2014.
  74. ^ Dear readers, please change your Ars account passwords ASAP , Ars Technica, 8 aprile 2014.
  75. ^ All Heartbleed upgrades are now complete , BitBucket Blog, 9 aprile 2014.
  76. ^ Keeping Your BrandVerity Account Safe from the Heartbleed Bug , BrandVerity Blog, 9 aprile 2014.
  77. ^ Twitter / freenodestaff: we've had to restart a bunch... , su twitter.com , 8 aprile 2014.
  78. ^ Security: Heartbleed vulnerability , GitHub , 8 aprile 2014.
  79. ^ IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed , LifeHacker , 8 aprile 2014.
  80. ^ Heartbleed bug and the Archive | Internet Archive Blogs , su blog.archive.org . URL consultato il 14 aprile 2014 .
  81. ^ Twitter / KrisJelbring: If you logged in to any of , su twitter.com . URL consultato il 14 aprile 2014 .
  82. ^ Leo Kelion, BBC News – Heartbleed hacks hit Mumsnet and Canada's tax agency , su bbc.co.uk , BBC News, 14 aprile 2014.
  83. ^ The widespread OpenSSL 'Heartbleed' bug is patched in PeerJ , PeerJ , 9 aprile 2014.
  84. ^ Was Pinterest impacted by the Heartbleed issue? , in Help Center , Pinterest. URL consultato il 20 aprile 2014 (archiviato dall' url originale il 21 aprile 2014) .
  85. ^ Heartbleed Defeated , su engineering.prezi.com . URL consultato il 13 aprile 2014 (archiviato dall' url originale il 5 giugno 2014) .
  86. ^ Staff, We recommend that you change your reddit password , in Reddit , 14 aprile 2014. URL consultato il 14 aprile 2014 .
  87. ^ IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI , su forums.somethingawful.com . URL consultato il 13 aprile 2014 .
  88. ^ Brendan Codey, Security Update: We're going to sign out everyone today, here's why , SoundCloud , 9 aprile 2014.
  89. ^ SourceForge response to Heartbleed , SourceForge , 10 aprile 2014.
  90. ^ Heartbleed , SparkFun , 9 aprile 2014.
  91. ^ Heartbleed , Stripe , 9 aprile 2014. URL consultato il 10 aprile 2014 .
  92. ^ Tumblr Staff-Urgent security update , su staff.tumblr.com , 8 aprile 2014. URL consultato il 9 aprile 2014 .
  93. ^ Alex Hern, Heartbleed: don't rush to update passwords, security experts warn , The Guardian , 9 aprile 2014.
  94. ^ Greg Grossmeier, Wikimedia's response to the "Heartbleed" security vulnerability , in Wikimedia Foundation blog , Wikimedia Foundation, 10 aprile 2014. URL consultato il 10 aprile 2014 .
  95. ^ Wunderlist & the Heartbleed OpenSSL Vulnerability , su support.wunderlist.com , 10 aprile 2014. URL consultato il 2 maggio 2019 (archiviato dall' url originale il 9 marzo 2017) .
  96. ^ ( EN ) Marlene Leung and Christina Commisso, Canadians filing taxes late due to 'Heartbleed' bug won't face penalties: CRA , in CTVNews , 9 aprile 2014. URL consultato il 28 dicembre 2017 .
  97. ^ ( EN ) Tax filing deadline extended to May 5 after Heartbleed bug , in CBC News . URL consultato il 28 dicembre 2017 .
  98. ^ ERROR: The requested URL could not be retrieved , su lists.wikimedia.org . URL consultato il 28 dicembre 2017 .
  99. ^ ( EN ) Seth Fiegerman, The Heartbleed Effect: Password Services Are Having a Moment , in Mashable . URL consultato il 28 dicembre 2017 .
  100. ^ ( EN ) LastPass and the Heartbleed Bug - The LastPass Blog , in The LastPass Blog , 8 aprile 2014. URL consultato il 28 dicembre 2017 .

Altri progetti

Collegamenti esterni

Estratto da " https://it.wikipedia.org/w/index.php?title=Heartbleed&oldid=121722458 "