Falla Heartbleed, il punto della situazione

Falla Heartbleed, il punto della situazione

Informazioni tecniche

Il bug Heartbleed è una vulnerabilità piuttosto seria affetta dalla libreria crittografica open source OpenSSL: per via di essa, è possibile che avvenga un furto di credenziali di accesso ai siti. Applicazioni sensibili possono essere relative al web, email, instant messaging (IM) ed alcune VPN.

Significa che l’open source è meno sicuro del software commerciale?

Dubbio lecito, ma non è così, al contrario: la falla è uscita fuori proprio dall’analisi del codice open, cosa che sarebbe stata probabilmente più lenta in caso di software chiuso.

Cos’è Heartbleed, e cosa comporta per “l’uomo della strada”?

Heartbleed è una falla informatica, nello specifico un bug scoperto da pochi giorni che permette ad utenti malintenzionati di accedere alle nostre informazioni riservate (password dei siti) ed accedere indebitamente ai siti. Il furto d’identità è il rischio più grosso, per quanto non sia affatto da sottovalutare la possibilità che qualcuno possa aver trovato le password di account bancari, i quali pero’ – tanto per non generare falsi allarmismi – di solito utilizzano meccanismi di protezione più avanzati.

In prima istanza, se non l’aveste già fatto, si consiglia di cambiare password ai propri account sui siti di Google, Facebook, Yahoo, Tumblr, Dropbox. Google, peraltro, offre la possibilità di proteggere i propri account a scelta dell’utente (ed è bene farlo) mediante una “one time password” che vi sarà inviata sul vostro telefono cellulare.

Di seguito la schermata che abilita questa feature, che potrete abilitare anche voi dalle impostazioni del vostro account Google.

Screen 2014-04-12 alle 13.29.10

In pratica cambio password e sono a posto?

No, se la falla non è stata riparata dal sito è perfettamente inutile farlo: assicuratevi prima (mediante comunicati ufficiali del sito in questione, ad esempio PayPal che sostiene di non essere affetta dal problema) che sia stata risolta, e che il sito utilizzi OpenSSL.

Quali siti sono a rischio?

Qua trovate l’elenco di alcuni siti di cui è nota la vulnerabilità: https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt, che nel frattempo potrebbero pero’ aver risolto il problema.

Heartbleed ha compromesso i nostri dati?

Nonostante molti titoli accattivanti abbiano fatto questa affermazione, in realtà la diffusione dei nostri dati sensibili (email, password, account bancari online e via dicendo) è “solo” una conseguenza della falla. La cosa preoccupante, semmai, è che

Quali password cambiare?

Il fatto di cambiare password ai nostri account come detto prima è condizione necessaria ma non sufficente per risolvere il problema e correre ai ripari.

Cosa non è Heartbleed

Nonostante la generalizzazione riportata da molti giornali, è bene dire che questa falla non riguarda tutti i certificati SSL in circolazione, ma solo quelli dei siti che ne fanno uso (che sono comunque moltissimi). Ad esempio i siti che ricorrono ai certificati “commerciali” come Symantec e Comodo non hanno avuto questo problema, almeno sulla carta. È bene comunque essere molto cauti e, nel dubbio:

  1. informarsi con certezza sul fatto che il sito a cui accediamo mediante credenziali riservate in SSL abbia avuto la possibilità di aggiornare/risolvere la falla; è inutile farlo se la falla permane!
  2. solo allora, cambiare la propria password inserendone una abbastanza complessa e difficile da indovinare.

Screen 2014-04-12 alle 12.28.16

Il problema di Oauth e delle password condivise

La fuga di informazioni non è quantificabile, e probabilmente non lo sarà mai con certezza: quello che è successo è riassumibile come una potenziale “scopertura” di informazioni considerate da sempre riservate, perchè protette da SSL per l’appunto, che significa in soldoni: qualcuno potrebbe aver salvato la vostra username e password di siti a cui accedete normalmente. Per quanto rigaurda l’accesso mediante social network, quindi i siti a cui accedete mediante Facebook o Twitter, è bene cambiare password del social network in questione, cosa che peraltro sarebbe opportuno fare almeno una volta ogni uno o due mesi.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.