E’ di ieri la notizia del più grande bug che potesse mai colpire OpenSSL, il sistema usato per criptare le comunicazioni internet utilizzato dalla maggior parte dei server e, fino ad oggi, considerato uno dei sistemi più sicuri della rete.

hearbleedkeyboard-578-80La grave falla, vista la sua impressionante durata (esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g!), per fortuna non riguarda le versioni OpenSSL 1.0.0 e 0.9.8.

Per tutto questo tempo ha consentito a chiunque su Internet, di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL .
Questo compromettendo le chiavi segrete utilizzate per identificare i fornitori di servizi e per crittografare il traffico, i nomi e le password degli utenti e il contenuto effettivo.

I sistemi operativi tutt’ora a rischio, nonostante la falla sia stata arginata, sono: Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 and OpenSUSE 12.2.

Ciò che può dare i brividi è la lista delle aziende interessate direttamente, che non hanno certo un’utenza limitata, ad esempio Yahoo.
A questo link troverete i siti che sono rimasti coinvolti.
Per fortuna invece non sono stati interessati Twitter, Facebook e Google, Apple e Microsoft.

Dulcis in fundo non si può sapere se un sito è stato attaccato attraverso la falla, perchè al contrario di un cuore spezzato… non lascia traccia.
Inoltre non si sa quanto e in che occasione sia stato sfruttato il bug.

Dopo aver letto questa ben poco rassicurante notizia… cosa deve fare un utente normale?

Tre cose:

  • aggiornare il proprio sistema,
  • cambiare le password dei servizi che usano OpenSSL dopo che sono stati aggiornati,
  • controllare periodicamente i propri account.