Sono trascorsi diversi anni dalla prima segnalazione di Heartbleed, una falla informatica che aveva colpito alcune versioni di OpenSSL, un protocollo open source tra i più utilizzati per fornire il servizio di HTTPS ai siti ed ai servizi web in generale. Da qualche tempo, del resto, è in corso una forte campagna di sensibilizzazione ad HTTPS sotto WordPress da qualche tempo, soprattutto da parte di Google che a brevissimo (questione di giorni, ormai) avviserà mediante la nuova versione Chrome che tutti i siti web con HTTP in chiaro sono da considerarsi indifferentemente “insicuri”.
La cosa preoccupante, a questo punto, è che secondo il rapporto pubblicato dalla società Shodan ci sono numeri impressionanti relativi all’attuale diffusione della falla, ancora non patchata, di OpenSSL, anche a distanza di anni. In sostanza ci sono molti siti in SSL che sfruttano una versione non aggiornata o comunque fallata di SSL, e questo mette a rischio il protocollo stesso rischiando di non essere abbastanza sicuro per gli utenti.
Nel dettaglio, i numeri riportati sono i seguenti:
- oltre 42 mila siti americani, 14 cinesi, 14 mila tedeschi e quasi 6500 inglesi ne sono affetti;
- circa 4800 siti web italiani ne sono, a quanto risulta, interessati.
Di tutti i casi in esame, sono stati contati oltre 148 mila con supporto HTTPS affetti da questo genere di falla che, ricordiamo, è un problema che interessa alcune versioni non aggiornate della libreria crittografica OpenSSL, per cui è possibile che possa avvenire un furto di username, password e dati delle carte di credito. Ricordiamo, inoltre, che SSL viene utilizzata anche da alcuni tipi di applicazioni per cui la sua diffusione è molto più comune di quanto si possa pensare, e non riguarda solo i siti web.
TheHackerNews ricorda i tre passi indispensabili perchè si possa patchare Heartbleed:
- aggiornare il software di sistema all’ultima versione di OpenSSL;
- creare nuove chiavi private per l’accesso al servizio, per evitare abusi;
- rigenerare i certificati per invalidare i vecchi, cosa che ad esempio ha fatto di recente l’hosting GoDaddy su alcuni servizi di sua gestione.
La speranza, a questo punto, è che la recentemente incentivata diffusione di HTTPS possa andare a sopperire indirettamente questi passi.
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l'iscrizione
👇 Contenuti da non perdere 👇
- Domini Internet 🌍
- intelligenza artificiale 👁
- Internet 💻
- Marketing & SEO 🌪
- Mondo Apple 🍎
- Programmare 🖥
- Scrivere 🖋
- 💬 Il nostro canale Telegram: iscriviti
- 🟠 Cos’è un certificato SSL?
- 🟢 Reverse engineering: cos’è e come funziona
- 🔴 Come inviare SMS pubblicitari facilmente