Arda Solutions s.r.l. | The Informal Blog


Information-Security-2

Il trend topic di questi giorni per “noi del settore” (anche quelli come noi che non si occupano strettamente di sicurezza) riguarda #heartbleed, il nome con cui si identifica il bug contenuto in OpenSSL 1.0.1 e descritto nel CVE-2014-0160. Il bug in questione (se volete un approfondimento oltre al CVE c’è anche “il sito ufficiale” se volete una spiegazione dettagliatissima di come si comporta il bug potete guardare qui oppure, se non avete voglia di sfogliare tutto continuate a leggere, a fine articolo ho messo una vignetta che riassume heartbleed 🙂 )  affligge una buona parte dei portali esposti che utilizzano OpenSSL come sistema di cifratura. Il bug in se, è molto grave ma ancora più grave che, di fatto, molte delle infrastrutture (anche di nomi molto conosciuti) non fossero pronte a mettere in campo contromisure che potessero arginare eventuali problemi e risolvere alla base il bug. Quando i server sono pochi e il nostro interesse è poco rivolto alla nostra visibilità online, i tempi di intervento e l’automazione sono molto marginali, diverso il discorso quando essere online (magari senza fermi) può determinare la differenza fra un anno buono e un pessimo risultato. Automatizzare ha come effetto finale l’utilizzo di software specializzati ma molto spesso è un problema di cultura

Prendo ad esempio questo bug perché è l’ennesimo spunto di riflessione riguardo al fatto che le contromisure è bene pensarle e definirle prima non attendere che succeda qualcosa e sperare “di metterci una pezza” veloce, molte volte non è cosi, molte volte non si conosce la materia o la gravità dell’accaduto e si cerca di correre ai ripari come si può. La strategia, non riguarda soltanto la capacità di reagire ad un fault (o, più in generare, ad un problema) in un tempo da noi considerato tollerabile ma è anche la capacità di riassestare l’infrastruttura (o, più in generale, la configurazione) della nostra infrastruttura.

Negli ultimi giorni siamo stati ingaggiati da alcuni clienti per risolvere in autonomia o collaborare con altre azienda specializzate in sicurezza questo problema, abbiamo messo appunto velocemente una strategia che potesse poi essere riutilizzabile per tutti ma il problema fondamentale è che nessuno era in grado di affrontare la cosa in maniera automatizzata.

Nella fattispecie, risolvere il problema alla radice significa andare, su ogni server ed ogni VirtualHost che utilizza certificati SSL, aggiornare il pacchetto buggato di OpenSSL, ricreare le chiavi ssh e quindi i certificati necessari. Discorso oneroso ma fattibile quando il server è unico, diventa molto più problematico invece se i serve iniziano ad essere 10 (valgono anche le VM!) o peggio ancora 100 (e siamo ormai nella media) senza poter automatizzare il processo, sapendo di non poter dare disservizio e sapendo che il full disclosure è stato già fatto da qualche giorno ed il bug è potenzialmente sfruttabile.

Fra i consigli quindi c’è sempre quello di predisporre, comunque, una base di automazione per far si che eventuali problemi non ci colgano alla sprovvista, o ci costringano a notti insonni per aggiornare e riconfigurare (avere uno strumento che, dato uno script, lo esegue su N macchine, non è automatizzare!) . Non è importante il prodotto quanto capirne la reale efficacia (noi stessi proponiamo soluzioni di IT Automation a seconda delle esigenze spaziando da Puppet fino a Kace , fra soluzioni on premise, ibride o full cloud). Comprendiamo la necessità di wsus, per esempio, ma ci sfugge il perché ingegnerizzare i processi in modo che siano automatizzati: la ragione è presto detta: automatizzare i processi ci permette di governare velocemente la nostra infrastruttura, permette a noi (Operatori IT) di concentrarci sull’evolutiva e non sul quotidiano e ci permette di intervenire rapidamente (per esempio a questo link la remediation automatica usando puppet) nel caso dovessimo apportare cambiamenti rapidi alle nostre configurazioni

E, ora per finire, una bella vignetta che spiega (grosso modo) dove scaturisce il bug di heartbleed:

facebook_-1053249924

Leave a Reply