Non conosce pace la sicurezza di HTTPS, considerato fino ad un anno fa uno dei più sicuri metodi di comunicazione in rete: dopo Poodle è stato scoperto Factoring Attack on RSA-EXPORT Keys (acronimo FREAK), una falla che interessa svariati siti e dispositivi, e per cui stanno per essere rilasciati alcuni importantissimi aggiornamenti. Il problema di sicurezza informatica, tanto per (non) cambiare, è diffuso da diversi anni ed è in corso di correzione soltanto adesso.
Analizzando il file di domini a rischio con grep, risulta che la maggioranza dei domini affetti sono dei .COM (54%), mentre i .IT costituiscono una piccola percentuale di siti vulnerabili a FREAK (la lista dei soli domini .IT affetti è qui).
Come risolvere: aggiornando come descritto. Si noti come moltissimi siti listati, alla prova dei fatti, potrebbero ridurre l’impatto della falla disattivando temporaneamente HTTPS, specialmente (se non obbligatoriamente, direi) se non usano SSL sul loro sito.
Tra i siti affetti vi sono moltissimi portali che potreste aver aperto di recente, tra cui 4shared.com, youjizz.com, businessinsider.com, mit.edu, alice.it, ilmessaggero.it, mps.it, leggo.it, alice.it, funweek.it, americanexpress.com, groupon.com e moltissimi altri. Il rischio, in questo caso, è che un aggressore riesca ad abbassare il livello di protezione di HTTP a 512 bit, e a questo punto sarà molto agevole creare un sito truffa che, eventualmente, includa SSL e serva esclusivamente a rubare i dati privati dell’utente (username, password, e via dicendo). Le tecniche di sfruttamento della falla possono essere molto varie per cui è necessario che l’utente aggiorni tutti i browser ed i sistemi operativi non appena saranno disponibili update. Microsoft ad esempio prevede (fonte) di applicare una patch per tutte le versioni di Windows supportate, mentre per iOS e OSX sarà necessario attendere il prossimo update. Conviene aggiornare comunque tutti i propri browser all’ultima versione, anche se Firefox aggiornato non risulterebbe essere vulnerabile.
Aggiornamento per Mac Mountain Lion, Mavericks, Yosemite: è stato rilasciato l’aggiornamento atteso, aggiornare il sistema dal bottone in alto a sinistra con la mela, poi scegliere “Informazioni su questo Mac“, poi il bottone “Aggiornamento software” e seguire l’ugrade suggerito. Si può fare in alternativa aprendo direttamente l’App Store e cliccando su “Aggiornamenti“: per aggiornare è richiesta di norma la password di root del sistema.
La lista completa dei siti affetti è qui, mentre il tool per verificare se siete vulnerabili (lato browser) o meno è all’indirizzo https://freakattack.com/clienttest.html oppure https://tools.keycdn.com/freak (per verificare se un sito lo è): le vulnerabilità vengono segnalate di colore rosso. (fonte: ArsTechnica)
Photo by red, white, and black eyes forever
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🔴 Come creare un e-commerce mediante 5 semplici raccomandazioni
- 🟡 Core web vitals: cosa sono e quanto incidono sull’andamento di un sito
- 🟠 Come convertire un sito WordPress in app