Da un paio di giorni si è diffusa la notizia di un nuovo bug chiamato Heartbleed, che sta facendo tremare tutta la rete, vediamo un po’ più nel dettaglio di cosa si tratta.
Si tratta di un bug che affligge OpenSSL, che altro non è che una parte del sistema che si occupa di gestire la crittografia dei dati, per farvi un esempio: qualunque sito in https utilizza questo pacchetto per criptare le connessioni.
Il bug Heartbleed permette a chiunque di leggere la memoria di sistemi che usano la versione vulnerabile di OpenSSL e svela le chiavi di sicurezza usate per identificare i fornitori di servizi e crittografare traffico, nomi, password e contenuti. Si possono quindi spiare comunicazioni e rubare dati e identità. A rischio sembrano essere Yahoo, Comixology, Flickr, Imgur e OculusVR, mentre altri come i siti di Facebook, Google,Wikipedia, Amazon, Twitter, Apple e Microsoft sarebbero al riparo.
Questo bug è attivo da oltre 2 anni sulla rete, e pare che i due terzi dei siti internet siano vulnerabili (fonte NetCraft ). La gravità in tutto questo è legato soprattutto al mercato delle carte di credito, infatti se fate attenzione, ogni volta che effettuate un pagamento online, venite rediretti ad una pagina in https, che utlizza quindi OpenSSL.
Una breve lista dei siti vulnerabili sono i seguenti, e vi auguro caldamente (ora che hanno risolto il problema), di cambiare immediatamente password.
Comixology
Dropbox
Lastpass
Flickr
Facebook (non è chiaro, ma è meglio cambiare la password)
Imgur
OcolusVR
Soundcloud
Tumblr
Twitter (non è chiaro, ma è meglio cambiare la password)
Vi consiglio almeno per i prossimi giorni, prima di utilizzare un qualunque servizio web critico (banche, acquisti online con carte di credito in generale), di effettuare un test con il tool qua sotto
Ad esempio il mio sito è già stato fixato come potete vedere da questo link http://filippo.io/Heartbleed/#www.temporini.net
Trackbacks/Pingbacks