Tre consigli per mettersi al riparo da Heartbleed, una vulnerabilità al cuore della Rete

AziendeSicurezzaSoluzioni per la sicurezza
Quiz: Conoscete i più devastanti cyber attacchi della storia?
1 9 3 commenti

Heartbleed, la falla scoperta in Open SSL, costringe gli utenti di diversi siti Web e servizi Internet a cambiare password. Ma prima devono essere i siti ad applicare la patch. Google, Facebook, Instagram, YouTube e Yahoo! (compreso Flickr), Bing, Microsoft, Wikipedia sono già corsi ai ripari. LinkedIn, eBay, PayPal non sono mai stati in pericolo. Pinterest e Wordpress non hanno ancora risposto alla richiesta se abbiano o meno risolto la falla. La grave vulnerabilità è stata rivelata da Google Security e Codenomicon. Ecco come mettersi al sicuro. Ma prima accertatevi che i siti abbiano applicato la release 1.0.1g di OpenSSL

Finora anche i più sprovveduti navigatori, alfabetizzati telematicamente, sapevano che quando si vedeva un lucchetto e la sigla “https://” davanti all’Url del sito si poteva stare al sicuro. Invece è scoppiata la bomba: Heartbleed, la vulnerabilità al cuore del protocollo Open SSL, ha reso d’un tratto fragile la nostra percezione della Rete. A “sanguinare” è circa il 66% dei siti mondiali, e il 40 percento tra i primi mille più frequentati in Italia.

Le transazioni sicure su internet si affidano a un paio di tecnologie dette Secure Sockets Layer (SSL) e il suo giovane fratello Transport Layer Security (TLS).  TLS/SSL garantisce il lucchetto che appare accanto a un indirizzo sicuro di un sito, insieme a https:// con cui inizia l’Url. Nel dietro le quinte, TLS/SSL è ciò che, attraverso chiavi crittografiche, permette a un browser e a un server di sapere chi è chi essi dicono di essere. È il guardiano del segreto digitale che mantiene private le informazioni fra voi e un Sito Web.

Allarme Heartbleed: cambiate password sui siti che hanno già applicato la patch in Open SSL
Allarme Heartbleed: cambiate password sui siti che hanno già applicato la patch in Open SSL

Ecco i consigli per mettersi al sicuro: innanzitutto bisogna accertarsi che i siti e i servizi a cui ci colleghiamo per le nostre attività online, abbiano applicato la patch, aggiornando OpenSSL alla release 1.0.1g. Cnet sta stilando un elenco dei siti che hanno fornito risposta. Se i siti  nella lista dei 100 siti top rispondono sì alla domanda: “Avete già applicato la patch per sanare la falla Heartbleed?“, potete cambiare la password. Vi consigliamo a questo punto:

cambiare password scegliendone una forte, lunga almeno 8 caratteri, con caratteri alfa-numerici e speciali (compresi i segni d’interpunzione ? e !);

– di controllare per almeno una settimana tutta l’attività sugli account dove transitano le informazioni come conti bancari ed email. Infatti a rischio furto sono password ed altri dati sensibili;

– infine, esistono test (come Qualys SSL Server Test) che consentono agli amministratori di un sito di controllare se le loro  proprietà online ne sono affette.

Hanno già applicato la patch, o meglio hanno aggiornato Open SSL alla nuova versione sicura: Google, Facebook, Instagram, YouTube e Yahoo! (compreso Flickr), Bing, Microsoft, Wikipedia, Blogger e Msn. Non hanno risposto WordPress e Pinterest. Amazon ha dichiarato a Reuters di essere immune. Invece LinkedIn, eBay, PayPal non sono mai stati in pericolo.

AnyConnect per iOS di Cisco e Desktop Collaboration, Tor, OpenVPN e  Viscosity da Spark Labs sono corsi ai ripari ed hanno fornito ai loro utenti indicazioni sul da farsi. Ma la vulnerabilità è stata ora individuata anche in alcuni router, switch e firewall di Cisco e Juniper: Cisco avvertirà i clienti quando avrà applicato la patch al software dei suoi prodotti hardware.

Kaspersky Lab ha già individuato decine attori del di cyber spionaggio impegnati in attività di scansione per trafugare password. In aumento da quando Rapid7 ha rilasciato un tool gratuito per condurre queste scansioni. Kurt Baumgartner di Kaspersky Lab ammette che il problema è insidioso. Mikko Hypponen di F-Secure ammette una certa impotenza degli utenti: “Non c’è nulla che gli utenti possano fare” a parte aspettare il fix dei siti e poi cambiare password. Google rassicura: “Noi abbiamo aggiornato per tempo e i nostri utenti non devono modificare la password“.

Bruce Schneier, l’esperto di crittografia e Cto di Co3 Systems, ha chiamato a raccolta le aziende Internet per adottare nuovi certificati e chiavi per crittografare il traffico Internet, per rendere inutili le chiavi rubate.

UPDATE 11 aprile ore 8.15: Amazon, Apple, Microsoft/Hotmail/Outlook, eBay, LinkedIn, Twitter, Groupon, Evernote e PayPal non sono vulnerabili e non necessitano cambio password; invece la password va cambiata su Facebook, Instagram, Google/Gmail, Blogspot, Amazon Web Services, Yahoo, Tumblr, Flickr, Bing, Pinterest, Dropbox e Wikipedia; WordPress non ha ancora fornito risposta.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore