giovedì 10 aprile 2014

Ecco come difendersi da Heartbleed, la grave falla di OpenSSL che mette a rischio milioni di password e siti






Ecco come difendersi da Heartbleed, la grave falla di OpenSSL che mette a rischio milioni di password e siti



La giornata di ieri è stata caratterizzata da Heartbleed, una falla che sta mettendo a rischio i dati di milioni di utenti su internet. Facciamo il punto su come scoprire se si è stati colpiti e come reagire.

heartbleed-bug

Heartbeat/Heartbleed

Nel Dicembre del 2011, OpenSSL ha introdotto un’estensione chiamata Heartbeat nella sua versione 1.0.1. La funzione di questa estensione era quella di evitare di ristabilire le sessioni continuamente e stabilire un meccanismo per mantenere aperte le sessioni SSL più a lungo.

OpenSSL è utilizzato da molti siti e software: dai server open source come Apache e nginx ai server email, i server per le chat, le VPN e perfino le applicazioni di rete.

La vulnerabilità, soprannominata Heartbleed Bug, esiste su tutte le implementazioni Open SSL che utilizzano l’estensione Heartbeat. Se utilizzata su un server vulnerabile permette di avere accesso alla memoria del computer, senza lasciare traccia. La memoria del computer può ovviamente contenere informazioni e dati sensibili e questo bug può essere utilizzato da chiunque.

Versioni OpenSSL infette e come scoprire se si è stati colpiti

  • Solo le versioni 1.0.1 e 1.0.2-beta release sono infette, incluse 1.0.1f e 1.0.2-beta1
  • Gli utenti possono scoprire se sono stati colpiti a questo sito
  • Gli utenti colpiti devono fare l’upgrade a OpenSSL version 1.0.1g, rilasciata il 7 aprile

Come difendersi da HeartBleed

  • Sostituite le vostre password per tutti i siti che contengono informazioni sensibili come caselle di posta o siti per i pagamenti (compreso quello della vostra banca qualora risulti affetto dal bug). I siti che permettono di avere BitCoins (soldi virtuali da spendere), sono quasi sicuramente tutti affetti dal bug quindi eliminate le vostre informazioni sensibili o collegamenti con le carte di credito, verificate la risoluzione del problema dal link qui sopra e non appena sarà risolto sostituite la vostra password.

PayPal ha fatto sapere che il proprio sito è sicuro e non è stato affetto dal bug. iSpazio non utilizza tale protocollo e pertanto è altrettanto sicuro.

















Pubblicato da alle

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)