Heartbleed, crolla la sicurezza in Internet

Sono alcuni giorni (dal 7 aprile, per essere precisi) che è stata comunicata la presenza di una grave falla nella sicurezza di Internet. Ci sarebbe da parlarne per pagine e pagine, ma qui mi limito ad alcune importanti informazioni e considerazioni.

The Heartbleed Bug

Di cosa si tratta
E’ un bug di sicurezza nel software di autenticazione e cifratura OpenSSL. Riguarda tutte le versioni 1.0.1 (cioè 1.0.1, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f) tranne la 1.0.1g che è stata rilasciata l’altro giorno proprio per correggere il problema. Il bug non è presente nelle versioni 1.0.0 nè in quelle 0.9.8 di OpenSSL.

A causa di questo bug è (stato) possibile rubare password di utenti senza lasciare traccia. E’ anche possibile falsificare l’identità dei siti.
Si tratta di una falla veramente grave nella sicurezza e potenzialmente uno dei più grandi problemi mai riscontrati in rete, a causa dell’ampia diffusione del software in oggetto e del fatto che la sicurezza di un sito web è normalmente basata su quelle librerie.

Al bug è stato dato il nome Heartbleed, ed è stato creato un apposito sito web dove trovare le informazioni che lo riguardano.

Ma questa cosa mi riguarda ?

In quanto utente del web, sì, molto probabilmente sì.

Tieni presente che il sistema in questione è (stato) usato da circa due terzi dei siti web nel mondo per proteggere le comunicazioni sensibili e per autenticarsi sui siti.
In poche parole ciò significa che esiste la possibilità che quando hai inserito il tuo nome utente e la password per entrare in un sito (social network, posta elettronica, banca…) i tuoi dati siano stati visti da qualcuno anche se pensavi che quel bel lucchetto che compare nel browser indicasse che la sicurezza era attiva.
In effetti il lucchetto indica proprio quello, tecnicamente che la sicurezza SSL e TLS è stata attivata. Peccato che questo bug abbia reso possibile estrarre password e indirizzi email di Yahoo. Yahoo e Flickr sono tra i siti per i quali è stata dimostrata la presenza della falla, problema ora risolto.

Quindi cosa devo fare ?

Gli utenti non devono fare (quasi) nulla, infatti non ci sono aggiornamenti di sicurezza da installare sui computer, tablet o altri dispositivi.
Potresti ragionare sul fatto di cambiare le tue vecchie password.

Certo, prima conviene verificare che i siti che usi siano stati aggiornati e siano sicuri.
Per fare questo segnalo due siti:
Heartbleed test page
SSL Server Test
solo dopo una verifica che ci dica che il sito in questione non presenta più il problema ha senso fare un cambiamento della password.
Se un sito risulta vulnerabile, aspetta ad usarlo finchè non viene aggiornato.

Questo è esattamente uno dei casi per i quali, nelle raccomandazioni sulla sicurezza, si indica di usare password differenti per siti e servizi differenti. Se questo non è il tuo caso è opportuno che aggiorni la tua strategia di sicurezza e cambi le password.

Sono un amministratore di sistema. Cosa devo fare ?

Qui mi limito a dire che se sui tuoi sistemi (non solo siti web, ma anche NAS, Firewall, VPN) usi le librerie OpenSSL devi fare un aggiornamento alla versione 1.0.1g.
Se non puoi fare quell’aggiornamento devi ricompilare OpenSSL rimuovendo l’handshake, ovvero usando l’opzione -DOPENSSL_NO_HEARTBEATS.

Un sacco di informazioni in più, per i server.

Aggiornamento. L’elenco di Cnet dei principali servizi per i quali potrebbe essere necessario intervenire.

Google      –     Falla risolta. Raccomandato cambio password
Facebook  –     Falla risolta. Raccomandato cambio password
Instagram  –     Falla risolta. Raccomandato cambio password
YouTube    –     Falla risolta. Raccomandato cambio password
Yahoo!      –     Falla risolta. Raccomandato cambio password
Amazon    –     Non era vulnerabile
Wikipedia  –     Falla risolta. Raccomandato cambio password
LinkedIn     –   Non era vulnerabile
eBay     –         Non era vulnerabile
PayPal    –       Non era vulnerabile
Twitter    –      Non era vulnerabile
Chase     –       Non era vulnerabile
CNET     –        Non era vulnerabile
CBSSports   –   Non era vulnerabile
Blogspot    –    Falla risolta. Raccomandato cambio password
Bing     –         Falla risolta. Raccomandato cambio password
Live     –         Falla risolta. Raccomandato cambio password
Pinterest    –   In attesa di risposta
Tumblr    –     Falla risolta. Raccomandato cambio password
Wordpress   – In attesa di risposta
Imgur    –       In attesa di risposta
MSN     –       Falla risolta. Raccomandato cambio password
Microsoft    – Falla risolta. Raccomandato cambio password
Flickr    –     Falla risolta. Raccomandato cambio password
Blogger    –     Falla risolta. Raccomandato cambio password
Googleusercontent.com  –    Falla risolta. Raccomandato cambio password

Lascia il tuo commento