La parola chiave di oggi è Heartbleed. Purtroppo, però, non si tratta di qualche diavoleria progettata da qualche ingegnere, in un attimo particolarmente prolifico, bensì di una minaccia per i vostri PC.
Heartbleed una delle vulnerabilità scoperta nell'ambito del protocollo Open SSL che ha colpito il 66% dei siti mondiali e circa il 40 percento tra i primi mille più frequentati in Italia.
Il problema è stato reso noto da Google Security e Codenomicon ma già ieri Google, Facebook, Instagram, YouTube e Yahoo! (Flickr compreso), Bing, Microsoft e Wikipedia hanno posto rimedio. LinkedIn, eBay, PayPal non sono mai stati a rischio. Pinterest e WordPress non hanno ancora chiarito se abbiano o meno risolto la questione.
Cnet sta stilando un elenco dei siti fornitori di servizi online che hanno già fornito una risposta. Se utilizzate un servizio online di un sito che ha risposto positivamente alla domanda "Avete già applicato la patch per sanare la falla Heartbleed?", allora potete cambiare la password.
La diffusione massiva dell'infezione, che potrebbe avere esposto i vostri dati personali registrati nei siti, nei social network, nei servizi di posta, potrebbe essere in atto già da qualche anno, per la verità.
Proprio in relazione a questa ipotesi iniziano a circolare alcuni elementi che sembrano provare uno sfruttamento di Hearbleed ben prima di quando è stato reso di pubblico dominio. Stando a quanto riporta ArsTechnica, infatti, Terrence Koeman di MediaMonks ha affermato di aver individuato nei log dei propri server tentativi di sfruttare la falla che risalgono al novembre del 2013.
Koeman ha scoperto infatti tracce di una serie di pacchetti in ingresso contenenti elementi simili a quelli illustrati nel proof-of-concept, e provenienti da due IP che fanno parte di una botnet probabilmente adibita ad una scansione della rete per individuare quali server potessero essere vulnerabili al problema.
In ogni caso, anche se non l'abbiamo potuto fare in precedenza, è importante agire in modo tempestivo almeno ora.
E' infatti importante che oggi gli utenti cambino le password sui siti che hanno già applicato la patch in Open SSL: ecco i consigli degli esperti per mettersi al sicuro. Innanzitutto bisogna accertarsi che i siti e i servizi a cui ci colleghiamo per le nostre attività online abbiano applicato la patch, aggiornando OpenSSL alla release 1.0.1g.
A questo punto ecco cosa fare:
- cambiate password scegliendone una forte, lunga almeno 8 caratteri, con caratteri alfa-numerici e speciali (compresi i segni di interpunzione ? e !);
- controllate per almeno una settimana tutta l’attività sugli account dove transitano le informazioni come conti bancari ed email. Infatti a rischio furto sono password ed altri dati sensibili;
- infine, grazie a test (come Qualys SSL Server Test), fate sì che gli amministratori del sito controllino se le loro proprietà online ne sono affette.
Oltre ai colossi citati in precedenza, anche altri siti potrebbero essere stati colpiti: quelli di Mashable hanno fornito un elenco dei siti maggiormente a rischio per via della falla.
Naturalmente, il fatto che alcuni siti siano vulnerabili, non significa che sicuramente i vostri dati (password, carte di credito, username, etc) siano stati rubati. Ma siccome non c'è modo di saperlo con certezza, è meglio mettersi al sicuro seguendo la procedura sopra indicata.
Mashable dice anche quali siti hanno già provveduto a scrivere una patch per chiudere la falla. Di seguito trovate una lista dei siti sui quali gli account possono essere stati a rischio, ma che hanno risolto il problema:
- Tumblr
- Yahoo
- Gmail
- Amazon Web Services
- TurboTax
- Dropbox
- OKCupid
- SoundCloud
Ricordiamo inoltre che, cambiare la password su un sito ancora a rischio, per ovvie ragioni, non ha senso, mentre lo ha nel caso dei siti che sono corsi ai ripari (vedi immediatamente sopra)
Se il rivale di sempre (Microsoft) è stato colpito dall'attacco ma ha già posto rimedio al problema, da Cupertino fanno saper che che OSX e i "servizi web chiave" di Apple, non sono stati interessati dal problema.
0 commenti:
Posta un commento