Suscita tuttora grande preoccupazione la scoperta avvenuta pochi giorni fa di una falla (bug in inglese) in un’estensione del protocollo OpenSSL che ha messo a serio rischio la sicurezza dei dati di molti siti internet.
La falla è stata chiamata Heartbleed - Cuore Sanguinante (in contrapposizione al nome dell’estensione che è Heartbeat – Battito Cardiaco) ed è particolarmente grave perché, seppur scoperta di recente, risale a dicembre del 2011.
Il protocollo OpenSSL è una implementazione open source dei protocolli SSL (Secure Socket Layer) e TLS (Transport Layer Security) normalmente utilizzati per la crittografia dei dati in moltissimi siti web.
La crittografia dei dati viene utilizzata quando si scambiano via internet informazioni riservate come nomi utente e password (ad esempio in un sito di e-commerce, in un sito bancario, in un sito di email come Gmail).
Quando navighiamo in Internet, ogni volta che entriamo in un sito nel quale viene utilizzata la crittografia dei dati appare, nella barra degli indirizzi, un lucchetto, ed il nome del sito è preceduto dalla sigla https://.
Circa il 50% dei server web mondiali utilizza Apache Web Server, che a sua volta utilizza OpenSSL. Questo dato ci fa capire quanto il bug OpenSSL possa essere rilevante.
Il bug Heartbleed permette ad un malintenzionato, in maniera del tutto autonoma, di appropriarsi di dati sensibili all’insaputa del navigatore. Tale bug permette di scaricare frammenti di memoria durante lo scambio di dati sensibili. E’ poi facile, per un hacker, trovare nei frammenti dati sensibili come nomi utente o password.
Non appena si è diffusa la notizia della scoperta del bug Heartbleed i responsabili del progetto OpenSSL hanno rilasciato la versione 1.0.1g contenente la correzione al problema.
I principali siti affetti dal problema hanno già provveduto ad aggiornarsi e a risolvere il problema, ma perché tutti lo facciano bisognerà attendere qualche settimana.
Pubblico qui di seguito un elenco aggiornato ad oggi (fonte: Mashable) dei principali siti che hanno provveduto ad applicare la correzione, e che sono, di conseguenza, sicuri. Puoi consultare l’elenco aggiornato sul sito Mashable.
| Social Networks | |||
| Affetto dal problema? | E' stato corretto? | Devo cambiare password? | |
| Non chiaro | Si | Si | |
| Si | Si | Si | |
| No | No | No | |
| Si | Si | Si | |
| Tumblr | Si | Si | Si |
| No | Si | Consigliato | |
| Altre Compagnie | |||
| Affetto dal problema? | E' stato corretto? | Devo cambiare password? | |
| Apple | No | No | No |
| Amazon | No | No | No |
| Si | Yes | Si | |
| Microsoft | No | No | No |
| Yahoo | Si | Yes | Si |
| Affetto dal problema? | E' stato corretto? | Devo cambiare password? | |
| AOL | No | No | No |
| Gmail | Si | Si | Si |
| Hotmail / Outlook | No | No | No |
| Yahoo Mail | Si | Si | Si |
| Siti di E-commerce | |||
| Affetto dal problema? | E' stato corretto? | Devo cambiare password? | |
| Amazon | No | No | No |
| Amazon Web Services | Si | Si | Si |
| eBay | No | No | No |
| Etsy | Si | Si | Si |
| GoDaddy | Si | Si | Si |
| Groupon | No | No | No |
| Nordstrom | No | No | No |
| PayPal | No | No | No |
| Target | No | No | No |
| Walmart | No | No | No |
| Video, Foto, Giochi ed Intrattenimento | |||
| Affetto dal problema? | E' stato corretto? | Devo cambiare password? | |
| Flickr | Si | Si | Si |
| Hulu | No | No | No |
| Minecraft | Si | Si | Si |
| Netflix | Si | Si | Si |
| SoundCloud | Si | Si | Si |
| YouTube | Si | Si | Si |
| Altri | |||
| Affetto dal problema? | E' stato corretto? | Devo cambiare password? | |
| Box | Si | Si | Si |
| Dropbox | Si | Si | Si |
| Evernote | No | No | No |
| GitHub | Si | Si | Si |
| Wikipedia (se hai un account) | Si | Si | Si |
| Wordpress | Non chiaro | Non chiaro | Consigliato |
Puoi inoltre controllare se un sito che frequenti è vulnerabile o meno usando il tool messo a disposizione dalla McAfee e disponibile a questo link.
Basta semplicemente inserire l’indirizzo web da controllare e premere il tasto Scan.
Se a seguito dello Scan il sito viene segnalato con il messaggio Vulnerability Detected aspetta a cambiare password.
Come si evince dalle tabelle precedenti, i gestori di alcuni siti dichiarano di non essere stati affetti dal problema, e considerano quindi inutile cambiare password. Altri gestori non si sono chiaramente pronunciati sul problema, lasciando gli utenti in dubbio. Nell’elenco compaiono solo i grossi nomi a livello mondiale.
Cambiare la password utilizzata in un sito è inutile fintanto che esso non sia stato aggiornato. Per questo conviene prima informarsi sullo stato del sito, eventualmente utilizzando il già citato tool della Mcafee o contattando direttamente chi gestisce il sito.
Io consiglio, per precauzione, di cambiare comunque, previa verifica dell’aggiornamento dei siti, tutte le password in tuo possesso. So che è una cosa fastidiosa, ma ritengo indispensabile che le password vengano gestite secondo queste precise linee guida:
So che molte delle cose elencate sopra fanno sorridere, ma la mia esperienza mi ha messo troppe volte di fronte a situazioni come quelle descritte.
La tutela della propria privacy vale bene qualche sacrificio!
La stesura di questo articolo ha richiesto molto tempo. Se lo hai trovato utile e vuoi cliccare su Mi piace o Condividi mi farai cosa gradita. Grazie.
© 2014 - Michele Angeletti - Via Antonio Fogazzaro, 10 - 00137 - Roma
Tel: 06.82.78.681 - 335.78.74.178
