Heartbleed, i siti a rischio e come difendere i dati sensibili dal bug

heartbleed

Heartbleed, letteralmente un cuore sanguinante. È la falla più pericolosa di Internet che ha colpito oltre i 2/3 dei siti mondiali, permettendo il furto di password e dati sensibili. Ed è da almeno due anni che “questa ferita al cuore” sta mettendo a rischio i dati delle connessioni protette di milioni di siti online. L’errore consente a un aggressore, senza interagire con i computer o i dispositivi della vittima, di acquisire tutti i dati riservati (mail, password, documenti, numeri di carte di credito) trasmessi dai siti che usano OpenSSL. È come se il padrone di casa lasciasse il mazzo di chiavi sotto lo zerbino e dietro il cespuglio ci fosse un ladro pronto ad entrare indisturbato in casa.

COS’È HEARTBLEED –  È il nome assegnato a una vulnerabilità zero day (CVE-2014-0160) che riguarda OpenSSL, ovvero il sistema per criptare le comunicazioni usato dalla maggior parte dei server di Internet. Sono stati i responsabili di OpenSSL a diffondere lunedì scorso un aggiornamento per risolvere la falla, ma secondo gli esperti di sicurezza informatica ci vorranno mesi per risolvere il problema. La falla è stata individuata da un ingegnere di Google, Neel Mehta, e da 3 ricercatori di Codenomicon (identificati come Riku, Antti e Matti), che hanno creato un sito dedicato alla vulnerabilità, appunto Heartbleed. Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8.

CHI È A RISCHIO?  I sistemi operativi vulnerabili sono diversi, tra cui Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2. OpenSSL è presente su quasi il 66% (secondo Netcraft) dei siti web grazie alla sua implementazione sui server Apache e nginx, i due web server più usati. Fornitori di servizi, social media, webmail, online banking sono potenzialmente tutti interessati. In particolare: Apple, Microsoft, Twitter, Facebook e Google non sembrano siano state colpite dalla vulnerabilità, ma si consiglia di cambiare password, anche solo a titolo precauzionale, agli account sui siti di Google, Facebook, Yahoo, Tumblr, Dropbox, che hanno già riparato la falla.

Yahoo è stata esposta dal bug, per questo gli esperti di sicurezza avevano prima consigliano agli utenti di non entrare nei propri account Yahoo per non farsi rubare le credenziali, anche se ora sembra risolto.

PayPal afferma di non essere stata colpita e che gli utenti non debbano neppure cambiare password, ma è comunque sempre consigliabile. Su Mashable una lista dei siti che potrebbero essere stati interessati dalla bug con spiegazione dettagliata di dove e perché cambiare password.

I CONSIGLI – Se i big della rete hanno tranquillizzato i propri clienti aggiornando i propri server con l’ultimo release per evitare di incorrere nella falla, i rischi maggiori sono per quelle piccole e medie imprese che non lo hanno fatto perché magari ancora non ne sono a conoscenza. La cosa migliore da fare è infatti aggiornare SSL all’ultima versione rilasciata, rigenerare le chiavi, revocare i certificati di cifratura ed emetterne dei nuovi.

Ci sono dei tool utili per verificare se un sito è stato colpito dal bug: in quel caso meglio evitarlo per un po’ di tempo. È comunque consigliabile che tutti gli utenti che utilizzano internet per accedere a piattaforme sensibili (come i siti di home banking) cambiassero password. Se un sito risulta vulnerabile, non collegatevi con esso fino a che non si aggiorna. Inoltre non fidatevi di mail o altri messaggi che vi invitano a cliccare su un link per aggiornare le vostre password: sono delle trappole. Se avete NAS o altri server personali esposti a Internet, aggiornateli appena possibile.

Google      –     Falla risolta. Raccomandato cambio password
Facebook  –    Falla risolta. Raccomandato cambio password
Instagram  –   Falla risolta. Raccomandato cambio password
YouTube    –    Falla risolta. Raccomandato cambio password
Yahoo!      –     Falla risolta. Raccomandato cambio password
Amazon    –     Non era vulnerabile
Wikipedia  –   Falla risolta. Raccomandato cambio password
LinkedIn     –  Non era vulnerabile
eBay     –           Non era vulnerabile
PayPal    -       Non era vulnerabile
Twitter    –       Non era vulnerabile
Chase     –        Non era vulnerabile
CNET     –        Non era vulnerabile
CBSSports   –  Non era vulnerabile
Blogspot    –   Falla risolta. Raccomandato cambio password
Bing     –          Falla risolta. Raccomandato cambio password
Live     –           Falla risolta. Raccomandato cambio password
Pinterest    -   In attesa di risposta
Tumblr    –      Falla risolta. Raccomandato cambio password
Wordpress   – In attesa di risposta
Imgur    –        In attesa di risposta
MSN     –         Falla risolta. Raccomandato cambio password
Microsoft    – Falla risolta. Raccomandato cambio password
Flickr    –        Falla risolta. Raccomandato cambio password
Blogger    –    Falla risolta. Raccomandato cambio password
Googleusercontent.com  –    Falla risolta. Raccomandato cambio password

Valentina Gravina

@valegravi


Share and Enjoy

  • Facebook
  • Twitter
  • Delicious
  • LinkedIn
  • StumbleUpon
  • Add to favorites
  • Email
  • RSS

Ti è piaciuto questo articolo? Fallo sapere ai tuoi amici

Lascia un Commento

L'indirizzo email non verrà pubblicato.

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

 
Per inserire codice HTML inserirlo tra i tags [code][/code] .

I coupon di Wakeupnews