Home tech Stai per acquistare sul web? Prima verifica se il sito è Heartbleed less!

Stai per acquistare sul web? Prima verifica se il sito è Heartbleed less!

6 min di lettura
0
0
49
heartbleed

In questi giorni non si parla d’altro che di Heartbleed (letteralmente “cuore che sanguina”) ovvero di quello che è considerato uno dei bug più catastrofici nella storia della rete.

Facciamo chiarezza sul bug

Il bug (errore software) è stato scoperto il 7 Aprile 2014 da Neel Metha, un ingegnere della Google, il quale per darne l’annuncio ha pensato bene di aprire un website http://heartbleed.com/ con tanto di logo, appunto un cuore che sanguina.

Non solo, il bug esiste dal dicembre 2011, ed è stato introdotto per errore dal programmatore tedesco Robin Seggelmann.

L’esperto di sicurezza informatica, Bruce Schneier, dichiara sul suo blog :

“Catastrophic” is the right word. On the scale of 1 to 10, this is an 11.

Su una scala da 1 a 10 Heartbleed rappresenta una catastrofe pari a 11.

Bruce arriva a sostenere la tesi che il bug fosse già a conoscenza di molti hacker, non solo ritiene probabile che fosse a conoscenza di numerose agenzie di intelligence facendo intendere che l’Nsa potrebbe averlo utilizzato per la sua attività di spionaggio.

At this point, the probability is close to one that every target has had its private keys extracted by multiple intelligence agencies. The real question is whether or not someone deliberately inserted this bug into OpenSSL, and has had two years of unfettered access to everything. My guess is accident, but I have no proof.

E’ lo stesso Robin Seggelmann a smentire Bruce Schneier, sostenendo che il bug è stato introdotto per errore nel 2011 mentre lavorava al protocollo OpenSSL e che non ha nulla a che vedere con l’attività di spionaggio della Nsa.

Chissà chi ha ragione.

Perché questo bug è considerato uno dei più catastrofici della storia?

Perché colpisce una funzionalità di OpenSSL, un tipo di sistema di cifratura delle comunicazioni online.

Si stima che questo sistema sia usato da due terzi dei server del pianeta. Insomma tanta roba.

Tale sistema di cifratura è utilizzato per rendere sicure le transazioni online fatte sui siti di eCommerce, di online banking,  per l’invio di email per l’instant messaging (chat) ed molto altro ancora.

Per intenderci tra i website considerati a rischio ci sono Google, Facebook, Dropbox e Yahoo.

Non sono invece a rischio, perché non adottano l’OpenSSL, website quali Microsoft, Amazon, Linkedin e PayPal.

Cosa fare quindi? Come proteggersi?

Per prima cosa dobbiamo verificare se il sito in questione è Heartbleed less ossia se non utilizza il protocollo OpenSSL oppure, se lo utilizza, se ha corretto il bug.

Per far ciò basta andare al seguente link

http://filippo.io/Heartbleed/

E digitare l’url (indirizzo) del website che si vuol controllare.

Il website in oggetto è stato realizzato dall’ Italiano Filippo Valsorda

Una volta fatta la verifica possiamo avere due risultati:

1. il website non ha corretto il problema

In tal caso evitiamo di fare la transazione online

2. il website ha corretto il problema o non usa OpenSSL

In tal caso possiamo fare la transazione online.

A prescindere da questo si consiglia vivamente di reimpostare le password per i seguenti website:

Google, Facebook, Yahoo, Twitter e Apple. 

Cambiamo anche le password dei nostri sistemi di messaggistica (mail, chat, …)

Usiamo però delle password complesse, che non contengano date, nomi e che non siano uguali per tutti i sistemi.

Per generare una password complessa vi consiglio questo link :

http://www.generate-password.com/?language=it

E’ tutto … spero di esservi stato di aiuto e di ave chiarito le cose.

Che te ne pare? Conoscevi il bug? Hai cambiato le tue password?

Ti è piaciuto il mio articolo?

Ricevi tutte le novità dell'etrusco direttamente nella tua casella di posta

Non preoccuparti, non faccio spam!

è Solution Architect e Full Stack Developer specializzato nell’analisi, progettazione e realizzazione di sistemi complessi in ambito Transportation. Dal 2007 è anche blogger con il nickname "etrusco" che ha associato alla sua brand identity; cura personalmente i contenuti di molti altri blog, website e forum. Ha inoltre realizzato molte webapp e siti di ecommerce. La passione per internet, per i nuovi media e per la tecnologia in generale gli permettono di stare sempre al passo con i nuovi linguaggi e le più innovative metodologie di programmazione. Adora sua moglie, le sue due figlie, la fotografia analogica e questo blog.

Carica più articoli correlati
Carica più per Alessandro De Marchi
Carica più in tech

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Guarda anche

L’ inbound marketing spiegato a mio zio (imprenditore)

L’ Inbound marketing spiegato a mio zio (imprenditore) Se sei un imprenditore e le m…