HeartBleed – falla in OpenSSL


Cambiate spesso le password di accesso ai servizi web che utilizzate?

Se la risposta è sì: bene, è il momento di fare un altro giro di nuove password.
Se la risposta è no: male, è ancora più il momento di farlo!

Il 7 aprile 2014 Cloudfare ha reso noto con un post sul blog una pericolosa vulnerabilità in OpenSSL che potrebbe rendere visibili i dati che transitano criptati.

In pratica, se l’indirizzo del sito che state visitando inizia con HTTPS anzichè con HTTP, è probabile che quel sito stia utilizzando OpenSSL. Il protocollo è presente, approssimativamente, in circa il 50% dei siti web.

Tutti i gestori di siti sono corsi ai ripari con urgenza installando le patch di aggiornamento già disponibili, ma c’è la possibilità che intrusioni siano avvenute precedentemente alla diffusione della vulnerabilità.  Oltre agli aggiornamenti, è alta l’attenzione anche riguardo alle chiavi SSL già generate, che probabilmente andranno sostituite.

Come utenti, l’unica misura che possiamo prendere (oltre ad avere sempre gli occhi aperti su quel che visitiamo sul web) è cambiare le password di accesso ai servizi (per la scelta di una buona password, potete avere qualche suggerimento in questo post) e usare un browser aggiornato, e un buon antivirus aggiornato (cioè, le solite regole di sempre). Il che non ripara, naturalmente, le eventuali “fughe di notizie” avvenute precedentemente alla divulgazione del bug.

E’ stato aperto un sito (heartbleed.com) che spiega più dettagliatamente il problema

A questa pagina c’è un elenco (attenzione! aggiornato, al momento in cui scriviamo, alle 12 del 8.4.14) dei siti vulnerabili, e a questa pagina trovate un tool per verificare se un determinato sito è vulnerabile o è stato messo in sicurezza.

Aggiornamento delle 21.00 del 10.04.2014: Cnet ha pubblicato un elenco con lo stato dele vulnerabilità (e l’elenco dei siti per i quali è consigliato cambiare le password).