stampa questo articolo
In questi giorni non si parla d’altro che di Heartbleed (letteralmente “cuore che sanguina”) ovvero di quello che è considerato uno dei bug più catastrofici nella storia della rete.

Facciamo chiarezza sul bug

Il bug (errore software) è stato scoperto il 7 Aprile 2014 da Neel Metha, un ingegnere della Google, il quale per darne l’annuncio ha pensato bene di aprire un website http://heartbleed.com/ con tanto di logo, appunto un cuore che sanguina.

Non solo, il bug esiste dal dicembre 2011, ed è stato introdotto per errore dal programmatore tedesco Robin Seggelmann.

L’esperto di sicurezza informatica, Bruce Schneier, dichiara sul suo blog :

“Catastrophic” is the right word. On the scale of 1 to 10, this is an 11.

Su una scala da 1 a 10 Heartbleed rappresenta una catastrofe pari a 11.

Bruce arriva a sostenere la tesi che il bug fosse già a conoscenza di molti hacker, non solo ritiene probabile che fosse a conoscenza di numerose agenzie di intelligence facendo intendere che l’Nsa potrebbe averlo utilizzato per la sua attività di spionaggio.

At this point, the probability is close to one that every target has had its private keys extracted by multiple intelligence agencies. The real question is whether or not someone deliberately inserted this bug into OpenSSL, and has had two years of unfettered access to everything. My guess is accident, but I have no proof.

E’ lo stesso Robin Seggelmann a smentire Bruce Schneier, sostenendo che il bug è stato introdotto per errore nel 2011 mentre lavorava al protocollo OpenSSL e che non ha nulla a che vedere con l’attività di spionaggio della Nsa.

Chissà chi ha ragione.

Perché questo bug è considerato uno dei più catastrofici della storia?

Perché colpisce una funzionalità di OpenSSL, un tipo di sistema di cifratura delle comunicazioni online.

Si stima che questo sistema sia usato da due terzi dei server del pianeta. Insomma tanta roba.

Tale sistema di cifratura è utilizzato per rendere sicure le transazioni online fatte sui siti di eCommerce, di online banking,  per l’invio di email per l’instant messaging (chat) ed molto altro ancora.

Per intenderci tra i website considerati a rischio ci sono Google, Facebook, Dropbox e Yahoo.

Non sono invece a rischio, perché non adottano l’OpenSSL, website quali Microsoft, Amazon, Linkedin e PayPal.

Cosa fare quindi? Come proteggersi?

Per prima cosa dobbiamo verificare se il sito in questione è Heartbleed less ossia se non utilizza il protocollo OpenSSL oppure, se lo utilizza, se ha corretto il bug.

Per far ciò basta andare al seguente link

http://filippo.io/Heartbleed/

E digitare l’url (indirizzo) del website che si vuol controllare.

Il website in oggetto è stato realizzato dall’ Italiano Filippo Valsorda

Una volta fatta la verifica possiamo avere due risultati:

1. il website non ha corretto il problema

In tal caso evitiamo di fare la transazione online

2. il website ha corretto il problema o non usa OpenSSL

In tal caso possiamo fare la transazione online.

A prescindere da questo si consiglia vivamente di reimpostare le password per i seguenti website:

Google, Facebook, Yahoo, Twitter e Apple. 

Cambiamo anche le password dei nostri sistemi di messaggistica (mail, chat, …)

Usiamo però delle password complesse, che non contengano date, nomi e che non siano uguali per tutti i sistemi.

Per generare una password complessa vi consiglio questo link :

http://www.generate-password.com/?language=it

E’ tutto … spero di esserti stato di aiuto e di averti chiarito le idee.

Che te ne pare? Conoscevi il bug? Hai cambiato le tue password?

Potrebbe interessarti anche ...

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here