Sono trascorsi diversi anni dalla prima segnalazione di Heartbleed, una falla informatica che aveva colpito alcune versioni di OpenSSL, un protocollo open source tra i più utilizzati per fornire il servizio di HTTPS ai siti ed ai servizi web in generale. Da qualche tempo, del resto, è in corso una forte campagna di sensibilizzazione ad HTTPS sotto WordPress da qualche tempo, soprattutto da parte di Google che a brevissimo (questione di giorni, ormai) avviserà mediante la nuova versione Chrome che tutti i siti web con HTTP in chiaro sono da considerarsi indifferentemente “insicuri”.
La cosa preoccupante, a questo punto, è che secondo il rapporto pubblicato dalla società Shodan ci sono numeri impressionanti relativi all’attuale diffusione della falla, ancora non patchata, di OpenSSL, anche a distanza di anni. In sostanza ci sono molti siti in SSL che sfruttano una versione non aggiornata o comunque fallata di SSL, e questo mette a rischio il protocollo stesso rischiando di non essere abbastanza sicuro per gli utenti.
Nel dettaglio, i numeri riportati sono i seguenti:
- oltre 42 mila siti americani, 14 cinesi, 14 mila tedeschi e quasi 6500 inglesi ne sono affetti;
- circa 4800 siti web italiani ne sono, a quanto risulta, interessati.
Di tutti i casi in esame, sono stati contati oltre 148 mila con supporto HTTPS affetti da questo genere di falla che, ricordiamo, è un problema che interessa alcune versioni non aggiornate della libreria crittografica OpenSSL, per cui è possibile che possa avvenire un furto di username, password e dati delle carte di credito. Ricordiamo, inoltre, che SSL viene utilizzata anche da alcuni tipi di applicazioni per cui la sua diffusione è molto più comune di quanto si possa pensare, e non riguarda solo i siti web.
TheHackerNews ricorda i tre passi indispensabili perchè si possa patchare Heartbleed:
- aggiornare il software di sistema all’ultima versione di OpenSSL;
- creare nuove chiavi private per l’accesso al servizio, per evitare abusi;
- rigenerare i certificati per invalidare i vecchi, cosa che ad esempio ha fatto di recente l’hosting GoDaddy su alcuni servizi di sua gestione.
La speranza, a questo punto, è che la recentemente incentivata diffusione di HTTPS possa andare a sopperire indirettamente questi passi.
Da non perdere 👇👇👇
- 🔒 Conosci meglio privacy e diritti digitali
- 👩💻 Impara a programmare in Python, C++, PHP
- 💻 Configura hosting e domini
- 📊 Tutto sui database
- 🛠️ Approfondisci le nuove tecnologie
- 🎮 Esplora la sezione retrogame
- 👀 Guarda i migliori servizi in offerta
- 🏁 Usa al meglio Excel
- 💬 Il nostro canale Telegram: iscriviti
- 😳 Come fare un’installazione pulita di Windows 10
- 😳 Come creare siti più sicuri: lato Javascript è quasi impossibile
- 🤩 Come fare simbolo diametro su tastiera Android, Mac, PC, OSX e PC