Heartbleed: il nuovo bug che fa tremare la rete

Da un paio di giorni si è diffusa la notizia di un nuovo bug chiamato Heartbleed, che sta facendo tremare tutta la rete, vediamo un po’ più nel dettaglio di cosa si tratta.

Si tratta di un bug che affligge OpenSSL, che altro non è che una parte del sistema che si occupa di gestire la crittografia dei dati, per farvi un esempio: qualunque sito in https utilizza questo pacchetto per criptare le connessioni.

Il bug Heartbleed permette a chiunque di leggere la memoria di sistemi che usano la versione vulnerabile di OpenSSL e svela le chiavi di sicurezza usate per identificare i fornitori di servizi e crittografare trafficonomipassword e contenuti. Si possono quindi spiare comunicazioni e rubare dati e identità. A rischio sembrano essere YahooComixologyFlickrImgur e OculusVR, mentre altri come i siti di FacebookGoogle,WikipediaAmazonTwitterApple e Microsoft sarebbero al riparo.

Questo bug è attivo da oltre 2 anni sulla rete, e pare che i due terzi dei siti internet siano vulnerabili (fonte NetCraft ). La gravità in tutto questo è legato soprattutto al mercato delle carte di credito, infatti se fate attenzione, ogni volta che effettuate un pagamento online, venite rediretti ad una pagina in https, che utlizza quindi OpenSSL.

Una breve lista dei siti vulnerabili sono i seguenti, e vi auguro caldamente (ora che hanno risolto il problema), di cambiare immediatamente password.

Comixology

Dropbox

Lastpass

Flickr

Facebook (non è chiaro, ma è meglio cambiare la password)

Imgur

OcolusVR

Soundcloud

Tumblr

Twitter (non è chiaro, ma è meglio cambiare la password)

Vi consiglio almeno per i prossimi giorni, prima di utilizzare un qualunque servizio web critico (banche, acquisti online con carte di credito in generale), di effettuare un test con il tool qua sotto

http://filippo.io/Heartbleed/

Ad esempio il mio sito è già stato fixato come potete vedere da questo link http://filippo.io/Heartbleed/#www.temporini.net

Author: Matteo Temporini

Nato nel 1979 a Udine (Italia), ho conseguito il diploma di scuola superiore come Programmatore. Ho proseguito gli studi ottenendo nel 2006 la Laurea in Informatica, presso l'università degli studi di Udine. Da sempre appassionato al mondo del Web, ho maturato un esperienza decennale come sistemista Linux e Windows presso varie aziende. Quello che state leggendo su questo sito è frutto della mia esperienza diretta, che continua a crescere grazie ad amici e colleghi.

Share This Post On

Trackbacks/Pingbacks

  1. Come controllare e correggere la vulnerabilità OpenSSL Heartbleed (CVE-2014-0160) su Debian, Ubuntu, Fedora, Centos e Opensuse | Matteo Temporini - […] molti di voi sapranno è da poco stato reso noto HeartBleed un pericolosissimo Bug legato alle librerie […]

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Per postare il commento, risolvi il quesito sottostante * Time limit is exhausted. Please reload CAPTCHA.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.