Formazione e diversity al centro della Summer STEM Academy: le nostre docenzelink
Security First

Heartbleed: la falla che ha colpito al cuore OpenSSL

1 minuti lettura

E’ di ieri la notizia del più grande bug che potesse mai colpire OpenSSL, il sistema usato per criptare le comunicazioni internet utilizzato dalla maggior parte dei server e, fino ad oggi, considerato uno dei sistemi più sicuri della rete.

La grave falla, vista la sua impressionante durata (esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g!), per fortuna non riguarda le versioni OpenSSL 1.0.0 e 0.9.8.

Per tutto questo tempo ha consentito a chiunque su Internet, di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL .
Questo compromettendo le chiavi segrete utilizzate per identificare i fornitori di servizi e per crittografare il traffico, i nomi e le password degli utenti e il contenuto effettivo.

I sistemi operativi tutt’ora a rischio, nonostante la falla sia stata arginata, sono: Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2.

Ciò che può dare i brividi è la lista delle aziende interessate direttamente, che non hanno certo un’utenza limitata, ad esempio Yahoo.
A questo link troverete i siti che sono rimasti coinvolti.
Per fortuna invece non sono stati interessati Twitter, Facebook e Google, Apple e Microsoft.

Dulcis in fundo non si può sapere se un sito è stato attaccato attraverso la falla, perchè al contrario di un cuore spezzato… non lascia traccia.
Inoltre non si sa quanto e in che occasione sia stato sfruttato il bug.

Dopo aver letto questa ben poco rassicurante notizia… cosa deve fare un utente normale?

Tre cose:

  • aggiornare il proprio sistema,
  • cambiare le password dei servizi che usano OpenSSL dopo che sono stati aggiornati,
  • controllare periodicamente i propri account.

Elena Ioverno

Note sull'autore
Sales Account Editor
Articoli
Articoli correlati
Security First

Let’s Encrypt o Certificato SSL a pagamento? Vantaggi e svantaggi

2 minuti lettura
Meglio un Certificato SSL a pagamento o Let’s Encrypt? È la domanda che si pongono moltissimi proprietari di siti web, indecisi sulla…
Security First

Direttiva PSD2: cos’è e cosa cambia

3 minuti lettura
Arriva la nuova direttiva europea PSD2 (Payment Services Directive II) che rivoluziona i servizi bancari di pagamento online, spingendo verso un sistema…
Security First

WordPress: come prevenire gli attacchi SQL Injection

5 minuti lettura
WordPress è il CMS più utilizzato sul mercato, con una quota che sfiora il 70% comparato agli altri maggiori CMS, secondo le…