Condizioni d'uso, diritti d'autore, disclaimer e commenti. Leggi il regolamento >>

Heartbleed: facciamo un po' di chiarezza e vediamo come difenderci senza prenderci dal panico

martedì 15 aprile 2014

OpenSSL è un software di cifratura relativo al protocollo HTTPS. Si tratta di un programma che viene utilizzato ai fini della sicurezza in sede di autenticazione nonchè di immissione di dati sensibili in transito tra il computer utilizzato ed il server finale.


Grazie a tale cifratura, i siti che supportano il protocollo HTTPS, sono sicuri e quindi le credenziali inserite dall'utente per accedervi e tutte le operazioni successive che comportano immissione di dati non vengono intercettati e decifrati.

Tutto questo avveniva fino a ieri.

Da poco infatti è stata scoperta una falla molto grave denominata "Heartbleed". Tale bug risiede proprio nel software OpenSSL che interessa la cifratura del protocollo HTTPS e ne deriva che tutte le credenziali utilizzate al fine dell'autenticazione su siti HTTPS non sono criptate ma vengono inserite "in chiaro" con la possibilità di intercettazione.

I due terzi della Rete e colossi quali Google, Yahoo, Facebook, Dropbox, Steam, Tumblr, Flickr, Instagram ed altri ancora sono stati colpiti dal problema come sostiene Arstechnica sebbene molti di questi abbiano prontamente risolto il bug rilasciando una nuova versione di OpenSSL.

Cosa è necessario fare per proteggersi da Heartbleed?
Innazitutto bisogna cambiare la password su tutti quei siti sui quali ci si è registrati e che sono stati colpiti da Heartbleed prestando attenzione a modificarla soltanto nel momento in cui si è sicuri che il sito in questione abbia risolto la falla di sicurezza.

Come è possibile sapere se un sito è stato colpito da Heartbleed o meno? 
In questi giorni sono stati messi a disposizione diversi servizi online che consentono di verificare se un sito ha utilizzato OpenSSL nella versione 1.0.1 (quella con il problema di sicurezza) e se lo utilizza ancora.


Di seguito potete trovare alcuni di questi servizi:

https://www.ssllabs.com/ssltest/
https://filippo.io/Heartbleed/
https://lastpass.com/heartbleed/

E' sufficiente digitare nell'apposito text-box il nome del sito da verificare (ad esempio www.google.it) e leggere il responso.

Add-on per Firefox
Gli utilizzatori di Firefox possono scegliere tra due estensioni per il browser di Mozilla.

La prima è Heartbleed-Ext un'estensione che utilizza il servizio sviluppato da Filippo Valsorda che controlla l'indirizzo della pagina caricata. Se il sito è ancora affetto dalla falla verrà visualizzata una notifica ed il cuore risulterà essere di colore rosso mentre, sarà di colore verde, se è sicuro.

Anche FoxBleed si basa sul servizio di Filippo Valsorda. L'estensione provvede a scansionare automaticamente le pagine visitate e, qualora si stia visitando un sito colpito da Heartbleed, verrà visualizzata una notifica.

Add-on per Chrome
Per chi invece utilizza il browser Chrome è possibile scaricare l'estensione dedicata Chromebleed che, una volta installata, notifica all'utente se il sito che sta visitando è affetto dal bug.

Come comportarsi dopo aver verificato il sito? 
Se il sito analizzato non ha mai utilizzato OpenSSL non è necessario intervenire mentre se si è accertato che quel sito ha utilizzato OpenSSL 1.0.1 ma che ha risolto la falla di sicurezza, allora come anticipato precedentemente si deve cambiare la password di accesso utilizzandone una mai impiegata in nessun altro servizio.

Se il sito internet verificato è ancora affetto dal bug Heartbleed non bisogna accedervi ne cambiare la password fino a quando la falla non verrà risolta da parte dei gestori del dominio o del server.

Per finire linkiamo il sito di Mashable da cui è possibile verificare i nomi dei siti dei quali si può modificare la password immediatamente.

"Consigliamo, prima di utilizzare software che potrebbero modificare la configurazione del sistema operativo, di creare un’immagine del disco fisso ed eseguire un backup dei dati"

Nessun commento:

Posta un commento

L'archivio di TechnoGeek