HeartbleedE’ stato diffuso un importante bollettino di sicurezza (CVE-2014-0160) relativo ad un importante vulnerabilità nella libraria di crittografia di OpenSSL.

Il problema riguarda il sistema per criptare le comunicazioni OpenSSL, utilizzato su circa due terzi dei server di Internet, i computer ai quali ci colleghiamo ogni giorno per leggere la posta, scambiarci messaggi su Facebook, accedere al nostro conto in banca o inviare un tweet.

Tramite questa vulnerabilità è possibile ottenere la chiave utilizzata dal nostro certificato  e quindi avere accesso alle informazioni così cifrate, il bug infatti permette a chiunque su Internet di leggere la memoria di sistemi protetti da una versione vulnerabile di OpenSSL. Tutto questo senza lasciare nessuna traccia nei file di log. In sintesi un disastro.

Anzi, di più. Bruce Schneier, uno dei più importanti esperti di sicurezza, ha dichiarato:

“Catastrofico” è la parola giusta. Su una scala da 1 a 10, questo è 11.

Il rischi legato a questo bug è estremamente alto ed è stato creato anche un sito ad-hoc http://heartbleed.com proprio per evidenziare l’elevato impatto.

Per risolvere la vulnerabilità, OpenSSL ha messo subito a disposizione di tutti un aggiornamento del proprio sistema che chiude la vulnerabilità impedendo agli utenti malintenzionati di ottenere nuove chiavi di sicurezza per decodificare le comunicazioni protette.

Noi de IlTuoSpazioWeb abbiamo lanciato subito la patch a tutti i nostri server, non appena è stato annunciato il bollettino su Heartbleed.

Raccomandiamo di :

Controllare se i siti che visitate sono vulnerabili o si sono aggiornati, immettendone il nome in http://ssllabs.com/ssltesthttp://possible.lv/tools/hb oppure http://filippo.io/Heartbleed .

  • Se un sito risulta vulnerabile, non interagite con esso fino a che non si aggiorna. Non cambiate la vostra password: è inutile se il sito non si aggiorna. La nuova password verrebbe letta dagli aggressori.
  • Se un sito risulta non vulnerabile, visitatelo e cambiate immediatamente la vostra password.
  • Non usate la stessa password per siti differenti: se lo fate, mai come oggi è il momento di smettere di essere così pigri e imprudenti.
  • Non fidatevi di mail o altri messaggi che vi invitano a cliccare su un link per aggiornare le vostre password: sono quasi sicuramente trappole di criminali.
  • Non seguite link a siti presso i quali avete un account: digitate a mano il nome del sito nel vostro browser.
  • Se avete NAS o altri server personali esposti a Internet, aggiornateli appena possibile.

 

 

I commenti sono chiusi.

Top