Ciao,
in questa settimana molti server admin hanno avuto dei grattacapi notevoli, a causa della scoperta di questo ‘baco’ software che li ha costretti a ricorrere ai ripari molto velocemente (aggiornando la versione installata alla OpenSSL 1.0.1g ).
Questo errore di programmazione esiste sin dal 31 dicembre 2011, ma è stata scoperto in questo mese, da Neel Mehta di Google Security. Per conoscere meglio il funzionamento di questo bug, leggete il post su Wikipedia.
Cos’è questo baco?
Heartbleed è il nome assegnato a una vulnerabilità zero day (CVE-2014-0160) che riguarda OpenSSL, il sistema usato per criptare le comunicazioni internet usato da due terzi dei server e fino ad oggi considerato uno dei sistemi più sicuri. La falla – e questa è una pessima notizia – esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g. Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8. (wired.it)
E’ consigliato cambiare le mia password di accesso ai servizi?
Il post presente sul sito di attivissimo consiglia di effettuare i seguenti controlli:
- Non fa differenza se usate Mac OS, Linux, Windows, Android, iOS e se usate un computer o un tablet o uno smartphone: siamo tutti vulnerabili allo stesso modo. Nno dipende da noi, ma dal software installato sul server dove siamo ospiti.
- Controllate se i siti che visitate sono vulnerabili o si sono aggiornati, immettendone il nome in ssllabs.com/ssltestoppure filippo.io/Heartbleed/.
- Se un sito risulta vulnerabile, non interagite con esso fino a che non si aggiorna. Non cambiate la vostra password: è inutile se il sito non si aggiorna. La nuova password verrebbe letta dagli aggressori.
- Se un sito risulta non vulnerabile, visitatelo e cambiate immediatamente la vostra password.
- Non usate la stessa password per siti differenti: se lo fate, mai come oggi è il momento di smettere di essere così pigri e imprudenti.
- Non fidatevi di mail o altri messaggi che vi invitano a cliccare su un link per aggiornare le vostre password: sono quasi sicuramente trappole di criminali.
- Non seguite link a siti presso i quali avete un account: digitate a mano il nome del sito nel vostro browser.
- Se avete NAS o altri server personali esposti a Internet, aggiornateli appena possibile.
Come funziona? Semplice spiegazione
Grazie a xkcd.com