Ricerca in FOLBlog

apr 142014
 

lo scorso 7 aprile è stata scoperta l’esistenza di Heartbleed, probabilmente la più seria minaccia ai nostri dati mai comparsa su Internet.

Ecco come funziona (semplificando al massimo), quali siti colpisce e in che modo possiamo proteggere i nostri dati online e i nostri social network.

 

Che cosa è Heartbleed

Heartbleed (cuore che sanguina in inglese) è un vulnerabilità informatica.
In pratica, una falla in una componente chiave dei sistemi che garantiscono la sicurezza delle comunicazioni su Internet, e precisamente in uno dei meccanismi più diffusi per criptare i dati inviati online (OpenSSL).

Quindi, in questo caso, il semplice fatto di avere l’antivirus installato ed aggiornato non ci mette al riparo.

 

Che cosa fa Heartbleed

Come detto, colpisce OpenSSL, un sistema di cifratura (SSL) delle comunicazioni online usato dalla maggior parte dei server.
OpenSSL è utilizzato per codificare (crittografare) i dati inviati da un computer e che viaggiano nella rete per raggiungere un altro computer (il nostro o un server): nel computer di destinazione, OpenSSL esegue il processo inverso permettendo la decodifica dei i dati.

È un processo totalmente trasparente all’utente che riconosce l’invio dei dati in modo codificato solo dalla presenza di un lucchetto nella barra degli indirizzi del browser (di solito prima dell’URL del sito): significa che un servizio di crittografia SSL è abilitato.
clip_image002

clip_image004

 

Come funziona l’attacco

OpenSSL ha una funzionalità chiamata Heartbeat (battito del cuore) che viene utilizzato dai gestori dei server per avere conferma che tutto sta funzionando a dovere.
Per dirla in termini elementari è come se un computer chiedesse, ad intervalli di tempo regolari, al sistema responsabile “Sei vivo?” e ricevesse la risposta “Sì sto bene”.

Si è scoperto che Heartbeat può essere ingannato dall’invio di un codice modificato da un hacker: in questo caso quando questi gli invia il “Sei vivo?”, Heartbeat risponde inviando anche altri pacchetti di memoria presenti sul server in quel momento.
Se si tratta di un server presso il quale ci si autentica inserendo username e password (come Gmail, Facebook, Twitter, ecc), quei pacchetti di memoria potrebbero contenere dati di nomi utente e password.

 

Quali siti sono colpiti

Sono potenzialmente a rischio tutti i server che utilizzano OpenSSL e con il tool Heartbeat installato e funzionante. Si stima siano i due terzi del totale.

Tra questi ci sono Google, Facebook, Dropbox e Yahoo.

Altri siti che utilizzano differenti sistemi SSL (quali ad esempio Microsoft, Amazon, Linkedin e PayPal) sono invece al riparo dalla minaccia..

Non sono a rischio neppure i siti di home banking, protetti solitamente da protocolli proprietari.

 

Cosa fare

E’ meglio cambiare le password sei servizi indicati di seguito, dato che hanno dichiarato di aver corretto la falla.
Nel caso specifico di Heartbleed, prima di cambiarla è bene chiedere all’operatore se la falla di OpenSSL è stata corretta: altrimenti il cambiamento è inutile.

Questi alcuni siti e la situazione attuale (work in progress):

· Google Vulnerabilità corretta, cambiare password

· Facebook Vulnerabilità corretta, cambiare password

· YouTube Vulnerabilità corretta, cambiare password

· Yahoo! Vulnerabilità corretta, cambiare password

· Amazon Non a rischio

· Wikipedia Vulnerabilità corretta, cambiare password

· LinkedIn Non a rischio

· eBay Non a rischio

· Twitter Non a rischio

· Craigslist In attesa di risposta

· Bing Vulnerabilità corretta, cambiare password

· Pinterest Vulnerabilità corretta, cambiare password

· Blogspot Vulnerabilità corretta, cambiare password

· CNN In attesa di risposta

· Live Non a rischio

· PayPal Non a rischio

· Instagram Vulnerabilità corretta, cambiare password

· Tumblr Vulnerabilità corretta, cambiare password

· Espn.go.com Vulnerabilità corretta, cambiare password

· WordPress In attesa di risposta

· Imgur In attesa di risposta

· Huffington Post In attesa di risposta

· Reddit Vulnerabilità corretta, cambiare password

· MSN Non a rischio

· Netflix Vulnerabilità corretta, cambiare password

· Weather.com Vulnerabilità corretta, cambiare password

· IMDb Non a rischio

· Yelp Vulnerabilità corretta, cambiare password

· Apple Non a rischio

· AOL In attesa di risposta

· Microsoft Non a rischio

· NYTimes In attesa di risposta

· Bank of America Non a rischio

· Ask Non a rischio

· Fox News Non a rischio

· Chase Non a rischio

· GoDaddy Vulnerabilità corretta, cambiare password

· About Non a rischio

· BuzzFeed In attesa di risposta

· Zillow Non a rischio

· Wells Fargo Non a rischio

· Etsy Vulnerabilità corretta, cambiare password

· XVideos In attesa di risposta

· Walmart Non a rischio

· CNET Non a rischio

· Pandora Non a rischio

· xHamster In attesa di risposta

· PornHub In attesa di risposta

· Comcast In attesa di risposta

· Stack Overflow Vulnerabilità corretta, cambiare password

· Salesforce Non a rischio

· Daily Mail In attesa di risposta

· Vimeo Vulnerabilità corretta, cambiare password

· Condui In attesa di risposta

· Flickr Vulnerabilità corretta, cambiare password

· Zedo Non a rischio

· Forbes Non a rischio

· LiveJasmin In attesa di risposta

· USPS Vulnerabilità corretta, cambiare password

· Indeed In attesa di risposta

· Hulu Non a rischio

· Answers Non a rischio

· HootSuite Non a rischio

· Amazon Web Services In attesa di risposta

· Adobe In attesa di risposta

· Blogger Vulnerabilità corretta, cambiare password

· Dropbox Vulnerabilità corretta, cambiare password

· Reference.com Non a rischio

· AWeber Non a rischio

· UPS Non a rischio

· Intuit In attesa di risposta

· NBC News In attesa di risposta

· USA Today Non a rischio

· Outbrain Vulnerabilità corretta, cambiare password

· The Pirate Bay In attesa di risposta

· The Wall Street Journal In attesa di risposta

· Bleacher Report In attesa di risposta

· Constant Contact Non a rischio

· Wikia Vulnerabilità corretta, cambiare password

· CBSSports Non a rischio

· Publishers Clearing House In attesa di risposta

· Washington Post Vulnerabilità corretta, cambiare password

· Target Non a rischio

· Drudge Report In attesa di risposta

· TripAdvisor Non a rischio

· FedEx Non a rischio

· Capital One Non a rischio

· wikiHow Non a rischio

· Googleusercontent.com Vulnerabilità corretta, cambiare password

· Groupon Non a rischio

· Best Buy In attesa di risposta

· AT&T In attesa di risposta

· Home Depot In attesa di risposta

· Trulia Non a rischio

· TMZ In attesa di risposta

· Feedbin Vulnerabilità corretta, cambiare password

· Pinboard Vulnerabilità corretta, cambiare password

· GetPocket Vulnerabilità corretta, cambiare password

· IFTTT Vulnerabilità corretta, cambiare password

· ManageWP Non a rischio

· PayScale Non a rischio

· OKCupid Vulnerabilità corretta, cambiare password

· Dillard’s Non a rischio

· NetZero Non a rischio

· Classmates Non a rischio

· MyPoints Non a rischio

Per verificare la sicurezza del protocollo SSL su altri siti è possibile utilizzare il servizio Qualsys che sottopone ad analisi il sito e restituisce un voto che va da A+ (il migliore) a F (il peggiore)

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

[SdSM] Volli, fortissimamente strilli…

 Scritto da alle 06:27 del 04/02/2014  Nessuna risposta »
feb 042014
 
[SdSM] Volli, fortissimamente strilli...

Maporkalamignottatroika… Possibile che ogni due per tre qualcuno si convince che quello che bisogna fare e’ agitare la bacchetta magica ed urlare forte ‘vogliovogliovoglio’ come un bimbo di 3 anni (o anche meno) per fare le cose? Proabilmente e’ per quello che il mondo va come sta andando. Ok, fatemi ripigliare il filo… Tempo addietro $noipensiamoallavostrarobba aveva messo in piedi un sistemone da incubo, con enne applicationservers, doppio load-balancer, doppio database e cose varie, poi l’UL della situazione aveva visto la pubblicita’ di un qualche servizio di “analisi” delle visite [Continua...]

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS
gen 292014
 
[Risolto] Stampante condivisa risulta offline con Windows 8

Pare sia un problema diffuso quello delle stampanti condivise che risultano offline per Windows 8 anche quando non lo sono. In sintesi, dopo aver installato su un PC (PC A) una stampante condivisa da un altro PC (PC B) ed essersi assicurati che tutto funzioni ben, capita invece che, anche a distanza di giorni, la stampante risulti offline per il PC che tenta di utilizzarla da remoto (PC A), nonostante sia invece accesa e pronta per essere utilizzata. Al momento non sembra esserci una soluzione.Gli unici due modi per aggirare [Continua...]

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS
gen 272014
 
Utilizzare il proprio dispositivo Android tramite PC

Ho scoperto un’applicazione (gratuita) che consente di utilizzare il proprio smartphone Android tramite PC (controllo remoto del terminale da PC). Si tratta di Mobizen che si compone di due applicazioni: un programma da installare sul PC e che consente la connessione al proprio dispositivo Android che può essere connesso direttamente al PC tramite USB oppure alla rete locale tramite WiFi (decisamente più comodo); un’app da scaricare dal Play Store che va installata sul proprio terminale Android insieme al plugin che server per la connessione WiFi. Oltre a poter utilizzare tutte [Continua...]

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

[SdSM] OppenSousser…

 Scritto da alle 06:27 del 21/01/2014  Nessuna risposta »
gen 212014
 
[SdSM] OppenSousser...

Ahhhh… La gioia dell’Open Source. Che tutti dovrebbero sapere oramai che ca$$o significa, invece io continuo a vedere che quando i vari SL/UL parlano di Open Source loro intendono “software AGGGRATISSE” mentre invece dovrebbero pensare “software di cui posso vedere i sorgenti”. Ma dato che a loro dei sorgenti non gliene frega una beneamata favonza la definizione viene cambiata in quella che riescono a capire molto meglio. E’ l’eccitazione della scambola, quando riescono ad autoconvincersi che stanno ricevendo qualche cosa per niente, senza guardare in effetti a quanto gli costa. [Continua...]

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS
gen 152014
 
Risparmio vero, risparmio falso. Come farsi bene i conti e non buttare i soldi

Uno dei miei clienti mi ha incaricato, tempo fa, di selezionare per l’acquisto una stampante laser adatta alle sue esigenze. Dopo una ricerca ho selezionato un insieme di stampanti laser che ho reputato essere in grado di rispondere adeguatamente alle sue esigenze, descrivendone i pro ed i contro.Tra queste ho consigliato un modello HP – poi acquistato dal mio cliente – motivando le ragioni della mia preferenza. Quasi contemporaneamente, un collega del mio cliente si è trovato nella condizione di dover effettuare lo stesso acquisto e ha optato per il [Continua...]

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS