Ricerca in FOLBlog

Apr 142014
 
closeQuesto articolo è stato pubblicato 2 anni 11 mesi 16 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

lo scorso 7 aprile è stata scoperta l’esistenza di Heartbleed, probabilmente la più seria minaccia ai nostri dati mai comparsa su Internet.

Ecco come funziona (semplificando al massimo), quali siti colpisce e in che modo possiamo proteggere i nostri dati online e i nostri social network.

 

Che cosa è Heartbleed

Heartbleed (cuore che sanguina in inglese) è un vulnerabilità informatica.
In pratica, una falla in una componente chiave dei sistemi che garantiscono la sicurezza delle comunicazioni su Internet, e precisamente in uno dei meccanismi più diffusi per criptare i dati inviati online (OpenSSL).

Quindi, in questo caso, il semplice fatto di avere l’antivirus installato ed aggiornato non ci mette al riparo.

 

Che cosa fa Heartbleed

Come detto, colpisce OpenSSL, un sistema di cifratura (SSL) delle comunicazioni online usato dalla maggior parte dei server.
OpenSSL è utilizzato per codificare (crittografare) i dati inviati da un computer e che viaggiano nella rete per raggiungere un altro computer (il nostro o un server): nel computer di destinazione, OpenSSL esegue il processo inverso permettendo la decodifica dei i dati.

È un processo totalmente trasparente all’utente che riconosce l’invio dei dati in modo codificato solo dalla presenza di un lucchetto nella barra degli indirizzi del browser (di solito prima dell’URL del sito): significa che un servizio di crittografia SSL è abilitato.
clip_image002

clip_image004

 

Come funziona l’attacco

OpenSSL ha una funzionalità chiamata Heartbeat (battito del cuore) che viene utilizzato dai gestori dei server per avere conferma che tutto sta funzionando a dovere.
Per dirla in termini elementari è come se un computer chiedesse, ad intervalli di tempo regolari, al sistema responsabile “Sei vivo?” e ricevesse la risposta “Sì sto bene”.

Si è scoperto che Heartbeat può essere ingannato dall’invio di un codice modificato da un hacker: in questo caso quando questi gli invia il “Sei vivo?”, Heartbeat risponde inviando anche altri pacchetti di memoria presenti sul server in quel momento.
Se si tratta di un server presso il quale ci si autentica inserendo username e password (come Gmail, Facebook, Twitter, ecc), quei pacchetti di memoria potrebbero contenere dati di nomi utente e password.

 

Quali siti sono colpiti

Sono potenzialmente a rischio tutti i server che utilizzano OpenSSL e con il tool Heartbeat installato e funzionante. Si stima siano i due terzi del totale.

Tra questi ci sono Google, Facebook, Dropbox e Yahoo.

Altri siti che utilizzano differenti sistemi SSL (quali ad esempio Microsoft, Amazon, Linkedin e PayPal) sono invece al riparo dalla minaccia..

Non sono a rischio neppure i siti di home banking, protetti solitamente da protocolli proprietari.

 

Cosa fare

E’ meglio cambiare le password sei servizi indicati di seguito, dato che hanno dichiarato di aver corretto la falla.
Nel caso specifico di Heartbleed, prima di cambiarla è bene chiedere all’operatore se la falla di OpenSSL è stata corretta: altrimenti il cambiamento è inutile.

Questi alcuni siti e la situazione attuale (work in progress):

· Google Vulnerabilità corretta, cambiare password

· Facebook Vulnerabilità corretta, cambiare password

· YouTube Vulnerabilità corretta, cambiare password

· Yahoo! Vulnerabilità corretta, cambiare password

· Amazon Non a rischio

· Wikipedia Vulnerabilità corretta, cambiare password

· LinkedIn Non a rischio

· eBay Non a rischio

· Twitter Non a rischio

· Craigslist In attesa di risposta

· Bing Vulnerabilità corretta, cambiare password

· Pinterest Vulnerabilità corretta, cambiare password

· Blogspot Vulnerabilità corretta, cambiare password

· CNN In attesa di risposta

· Live Non a rischio

· PayPal Non a rischio

· Instagram Vulnerabilità corretta, cambiare password

· Tumblr Vulnerabilità corretta, cambiare password

· Espn.go.com Vulnerabilità corretta, cambiare password

· WordPress In attesa di risposta

· Imgur In attesa di risposta

· Huffington Post In attesa di risposta

· Reddit Vulnerabilità corretta, cambiare password

· MSN Non a rischio

· Netflix Vulnerabilità corretta, cambiare password

· Weather.com Vulnerabilità corretta, cambiare password

· IMDb Non a rischio

· Yelp Vulnerabilità corretta, cambiare password

· Apple Non a rischio

· AOL In attesa di risposta

· Microsoft Non a rischio

· NYTimes In attesa di risposta

· Bank of America Non a rischio

· Ask Non a rischio

· Fox News Non a rischio

· Chase Non a rischio

· GoDaddy Vulnerabilità corretta, cambiare password

· About Non a rischio

· BuzzFeed In attesa di risposta

· Zillow Non a rischio

· Wells Fargo Non a rischio

· Etsy Vulnerabilità corretta, cambiare password

· XVideos In attesa di risposta

· Walmart Non a rischio

· CNET Non a rischio

· Pandora Non a rischio

· xHamster In attesa di risposta

· PornHub In attesa di risposta

· Comcast In attesa di risposta

· Stack Overflow Vulnerabilità corretta, cambiare password

· Salesforce Non a rischio

· Daily Mail In attesa di risposta

· Vimeo Vulnerabilità corretta, cambiare password

· Condui In attesa di risposta

· Flickr Vulnerabilità corretta, cambiare password

· Zedo Non a rischio

· Forbes Non a rischio

· LiveJasmin In attesa di risposta

· USPS Vulnerabilità corretta, cambiare password

· Indeed In attesa di risposta

· Hulu Non a rischio

· Answers Non a rischio

· HootSuite Non a rischio

· Amazon Web Services In attesa di risposta

· Adobe In attesa di risposta

· Blogger Vulnerabilità corretta, cambiare password

· Dropbox Vulnerabilità corretta, cambiare password

· Reference.com Non a rischio

· AWeber Non a rischio

· UPS Non a rischio

· Intuit In attesa di risposta

· NBC News In attesa di risposta

· USA Today Non a rischio

· Outbrain Vulnerabilità corretta, cambiare password

· The Pirate Bay In attesa di risposta

· The Wall Street Journal In attesa di risposta

· Bleacher Report In attesa di risposta

· Constant Contact Non a rischio

· Wikia Vulnerabilità corretta, cambiare password

· CBSSports Non a rischio

· Publishers Clearing House In attesa di risposta

· Washington Post Vulnerabilità corretta, cambiare password

· Target Non a rischio

· Drudge Report In attesa di risposta

· TripAdvisor Non a rischio

· FedEx Non a rischio

· Capital One Non a rischio

· wikiHow Non a rischio

· Googleusercontent.com Vulnerabilità corretta, cambiare password

· Groupon Non a rischio

· Best Buy In attesa di risposta

· AT&T In attesa di risposta

· Home Depot In attesa di risposta

· Trulia Non a rischio

· TMZ In attesa di risposta

· Feedbin Vulnerabilità corretta, cambiare password

· Pinboard Vulnerabilità corretta, cambiare password

· GetPocket Vulnerabilità corretta, cambiare password

· IFTTT Vulnerabilità corretta, cambiare password

· ManageWP Non a rischio

· PayScale Non a rischio

· OKCupid Vulnerabilità corretta, cambiare password

· Dillard’s Non a rischio

· NetZero Non a rischio

· Classmates Non a rischio

· MyPoints Non a rischio

Per verificare la sicurezza del protocollo SSL su altri siti è possibile utilizzare il servizio Qualsys che sottopone ad analisi il sito e restituisce un voto che va da A+ (il migliore) a F (il peggiore)

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: