468x60

giovedì 17 aprile 2014

Come proteggere il server contro la vulnerabilità di Heartbleed OpenSSL

Importante Vulnerabilità di Sicurezza SSL
Lunedì, 7 aprile 2014, è stata comunicata una vulnerabilità di OpenSSL che è stata chiamata una delle peggiori falle di sicurezza nella storia recente di Internet. Il bug, chiamato il Heartbleed bug, è stato introdotto in OpenSSL versione 1.0.1. E' presente dal marzo del 2012 ed è patchato con OpenSSL versione 1.0.1g rilasciata il 7 aprile 2014. Il problema, etichettato CVE-2014-0160, è descritto in dettaglio qui.

Il bug consente a qualsiasi malintenzionato di leggere la memoria di un host vulnerabile, il che significa che tutte le chiavi che sono state utilizzate su un host con una versione vulnerabile di OpenSSL devono essere considerate compromesse. Le distribuzioni stanno aggiornando i loro pacchetti e spingendo gli aggiornamenti, ma gli utenti hanno bisogno di abbattere i più recenti pacchetti e revocare le chiavi precedenti basate su versioni insicure.

Vi mostrerò come aggiornare i propri sistemi con una versione sicura di OpenSSL, revocare i certificati SSL insicuri, e verificare se siete vulnerabili o meno.

Aggiorna il tuo Sistema
Il modo più semplice per aggiornare i pacchetti è quello di aggiornare l'intero sistema.

Su Ubuntu e Debian, puoi aggiornarlo digitando:
sudo apt-get update
sudo apt-get dist-upgrade
Se si desidera solo di aggiornare i pacchetti interessati, e non aggiornare l'intero sistema (consigliato solo se si ha motivo di ritenere che gli aggiornamenti agli altri componenti romperanno il vostro sistema), si possono selettivamente aggiornare i pacchetti OpenSSL digitando:
sudo apt-get install --only-upgrade openssl
sudo apt-get install --only-upgrade libssl1.0.0
Questo aggiornerà i pacchetti vulnerabili, lasciando il resto del sistema in uno stato non aggiornato.

Verifica i tuoi Numeri di Versione
Si consiglia di controllare la versione di OpenSSL dopo aver aggiornato il sistema.

Mentre OpenSSL versione 1.0.1g è il fix ufficiale di questo problema, la versione che corregge questo per diverse distribuzioni e versioni può variare. Alcune versioni e distribuzioni patchati le loro versioni più vecchie per risolvere il problema, piuttosto che rilasciare una versione completamente nuova in un vecchio, ecosistema stabile.

A causa di questo motivo, è meglio controllare attraverso il sistema di pacchettizzazione della vostra distribuzione, dal momento che il comando versione openssl potrebbe non riflettere le informazioni necessarie.

Releases DebianUbuntu e Versioni Corrette
Per i sistemi Debian e Ubuntu, ottieni la versione di OpenSSL digitando:
dpkg -l | grep "openssl"
Per gli utenti Debian, la release di Debian che si esegue determinerà la versione corretta per la correzione. Se la versione di OpenSSL è almeno recente come la versione elencata qui per la vostra distribuzione, dovreste essere protetti:
  • Debian 6 (Squeeze): Non influenzato (fornito con una versione precedente alla vulnerabilità)
  • Debian 7 (Wheezy): 1.0.1e-2+deb7u6
  • Debian testing (Jessie): 1.0.1g-1
  • Debian unstable (Sid): 1.0.1g-1

How to Protect your Server Against the Heartbleed OpenSSL Vulnerability

Important SSL Security Vulnerability
On Monday, April 7th 2014, an OpenSSL vulnerability was disclosed which has been called one of the worst security holes in recent internet history. The bug, called the Heartbleed bug, was introduced in OpenSSL version 1.0.1. It has been in the wild since March of 2012 and is patched with OpenSSL version 1.0.1g released on April 7th 2014. The problem, tagged CVE-2014-0160, is described in detail here.

The bug allows any attacker to read the memory of a vulnerable host, which means that any keys that have been used on a host with a vulnerable version of OpenSSL should be considered compromised. Distributions have been updating their packages and pushing out updates, but users need to pull down the most recent packages and revoke any previous keys based on insecure versions.

I'll show you how to update your systems with a secure version of OpenSSL, revoke any insecure SSL certificates, and test whether you are vulnerable or not.

Update your System
The easiest way to update your packages is to update your entire system.

On Ubuntu and Debian, you can update by typing:
sudo apt-get update
sudo apt-get dist-upgrade
If you only want to upgrade the affected packages, and not update the entire system (only recommended if you have reason to believe that upgrades to other components will break your system), you can selectively upgrade the OpenSSL packages by typing:
sudo apt-get install --only-upgrade openssl
sudo apt-get install --only-upgrade libssl1.0.0
This will upgrade the vulnerable packages while leaving the rest of your system in an un-upgraded state.

Checking your Version Numbers
You should check your version of OpenSSL after you have updated your system.

While OpenSSL version 1.0.1g is the official fix of this problem, the version that fixes this for different distributions and releases may vary. Some releases and distributions patched their older versions to fix the problem, rather than releasing an entirely new version into an older, stable ecosystem.

Because of this reason, it is best to check through your distribution's packaging system, since the openssl version command might not reflect the information we need.

Debian and Ubuntu Releases and Fix Versions
For Debian and Ubuntu systems, you get the current version of your OpenSSL package by typing:
dpkg -l | grep "openssl"
For Debian users, the release of Debian that you are running will determine the correct version for the fix. If your version of OpenSSL is at least as recent as the version listed here for your distribution, you should be protected:
  • Debian 6 (Squeeze): Unaffected (Shipped with older version prior to vulnerability)
  • Debian 7 (Wheezy): 1.0.1e-2+deb7u6
  • Debian testing (Jessie): 1.0.1g-1
  • Debian unstable (Sid): 1.0.1g-1

mercoledì 16 aprile 2014

Recharge an electronic device with your body

A group of Korean researchers of KAIST (Korea Advanced Institute of Science & Technology) has developed a system that can charge wearable devices by the warm of the human body.
What you see in the image could simply be integrated in wearable devices such as smartwatch, fitness bracelets and so on allowing the same to recharge, to the point of being completely autonomous, with this thermoelectric generator that takes the heat from our body, transforming it into electricity. This approach is not new, but the merit of these researchers is that they used inorganic materials that have allowed to maintain a reduced weight and size even managing to print circuits on an extremely flexible support and therefore easily wearable, in glass fiber. This will then allow not only to integrate perfectly within the devices, but also to be easily wearable.

È possible ricaricare un dispositivo elettronico con il proprio corpo? La risposta è affermativa ed ora si aprono un'infinità di nuovi scenari.

Ricaricare un dispositivo elettronico con il proprio corpo

Un gruppo di ricercatori Coreani del KAIST (Korea Advanced Institute of Science & Technology) ha realizzato un sistema in grado di ricaricare i dispositivi indossabili attraverso il calore del corpo umano.
Ciò che vedete nell'immagine potrebbe venir semplicemente integrato nei dispositivi indossabili come smartwatch, bracciali fitness e così via permettendo così ai medesimi di ricaricarsi, sino al punto di essere completamente autonomi, grazie a questo generatore termoelettrico che preleva il calore dal nostro corpo trasformandolo in energia elettrica. Si tratta di un approccio non nuovo, ma il merito di questi ricercatori è quello di aver utilizzato dei materiali inorganici che hanno permesso di mantenere un peso e delle dimensioni ridotte riuscendo anche a stampare i circuiti su un supporto estremamente flessibile, quindi facilmente indossabile, in fibra di vetro. Ciò permetterà quindi non solo di integrarli perfettamente all'interno dei dispositivi, ma anche di essere facilmente indossati.

È possible ricaricare un dispositivo elettronico con il proprio corpo? La risposta è affermativa ed ora si aprono un'infinità di nuovi scenari.
468x60

Cerca su Google

Cerca nel Blog con Google