La vulnerabilità generata dal bug Heartbleed non scalfisce i sistemi BlackBerry

Heartbleed è il nome assegnato a una vulnerabilità zero day (CVE-2014-0160) che riguarda OpenSSL, il sistema usato per criptare le comunicazioni internet usato da due terzi dei server e fino ad oggi considerato uno dei sistemi più sicuri. La falla esiste da due anni, dal dicembre del 2011, ed è stata arginata in questi giorni nella versione OpenSSL 1.0.1g. Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8.

OpenSSL è una implementazione open source di SSL e TSL, i due protocolli che garantiscono la sicurezza delle comunicazioni e transazioni di gran parte di ciò che sta sul web. La falla è stata individuata da un ingegnere di Google, Neel Mehta, e da alcuni ricercatori di Codenomicon, che hanno poi creato un sito www.heartbleed.com. Sono stati colpiti molti sistemi operativi, tra cui Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 e OpenSUSE 12.2. Ma al di là di questo, il punto è che OpenSSL gira su due dei web server più usati, Apache e Nginx, così come server mail, servizi di chat, VPN e altri servizi.

Tra le aziende più colpite in particolare troviamo Apple, Microsoft, Twitter e Facebook, mentre Google non sembra esser stato colpito dalla vulnerabilità. La lista completa dei siti interessati alla falla è disponibile al seguente collegamento. Dopo una settimana dalla sua divulgazione la situazione si va man mano normalizzando ed è possibile verificare tramite questo collegamento se un sito ha aggiornato i suoi certificati. Il consiglio ultimo è comunque quello di cambiare le password dei servizi che usano OpenSSL dopo che sono stati aggiornati.

Ma BlackBerry® in tutta questa situazione come ne esce?

A darne risposta è la stessa società canadese attraverso una nota: BlackBerry Knowledge Base

BlackBerry® sta attualmente esaminando l’impatto della vulnerabilità OpenSSL sui propri clienti. Gli utenti BlackBerry® possono stare certi che, mentre BlackBerry® continua ad indagare su tale falla, abbiamo stabilito che gli smartphone BlackBerry, il BlackBerry Enterprise Server 5 ed il BlackBerry Enterprise Service 10 non sono interessati e sono completamente protetti dalla questione OpenSSL.

OpenSSL presenta una grave vulnerabilità della propria libreria di software di crittografia. Questa debolezza consente ad un utente malintenzionato di rubare le informazioni protette, in condizioni normali, dalla crittografia SSL/TLS utilizzata in Internet . La vulnerabilità è descritta come CVE – 2014-0160.

Ulteriori indagini in prodotti interessati sono in corso e BlackBerry® sta lavorando per determinare l’impatto del problema e confermare l’approccio migliore per proteggere i clienti. Se e quando le correzioni saranno disponibili questo avviso sarà aggiornato .

Software potenzialmente vulnerabili

  • BBM per iOS e Android – Non ci sono mitigazioni per questa vulnerabilità, ma la vulnerabilità non è banale da sfruttare.
  • Secure Work Space per iOS e Android – Non ci sono mitigazioni per questa vulnerabilità per Secure Work Space per iOS e Android .
  • BlackBerry Link per Windows – Questo problema è mitigato da BlackBerry Link per Mac OS e da BlackBerry Link per Windows a causa del fatto che, in genere, questi sistemi non sono visibili a Internet e il traffico esterno viene inviato tramite un proxy in un ambiente aziendale. Questo aumenta notevolmente la difficoltà di sfruttare questi sistemi. I clienti con BlackBerry Link possono utilizzare il loro sistema di firewall per filtrare le richieste.
  • BlackBerry Link per Mac OS – Questo problema è mitigato da BlackBerry Link per Mac OS e da BlackBerry Link per Windows a causa del fatto che, in genere, questi sistemi non sono visibili a Internet e il traffico esterno viene inviato tramite un proxy in un ambiente aziendale. Questo aumenta notevolmente la difficoltà di sfruttare questi sistemi. I clienti con BlackBerry Link possono utilizzare il loro sistema di firewall per filtrare le richieste.

Software non vulnerabili

  • BlackBerry Enterprise Service 10
  • BlackBerry Enterprise Server 5
  • BlackBerry Universal Device Server
  • BlackBerry ® OS 10
  • BlackBerry ® OS 7.1 e versioni precedenti
  • BBM per smartphone BlackBerry

Una ulteriore conferma che i servizi offerti da BlackBerry® sono i più sicuri al mondo, noi ne siamo già convinti…quando invece saranno gli altri a convincersene?

Articoli Simili