La parola Heartbleed vi dice qualcosa? Se la risposta è negativa, allora sappiate che si tratta di una delle più importanti falle di internet mai scoperte nella storia, che sta letteralmente facendo tremare utenti e siti web di tutto il mondo. Se, invece, sapete già di cosa parliamo, continuate a leggere per scoprire anche cosa fare per difendersi…
Heartbleed è una vulnerabilità del pacchetto OpenSSL che mette a repentaglio tutti i dati presenti su internet. La falla ha colpito i due terzi dei siti web, offrendo agli hacker la possibilità di rubare i dati sensibili degli utenti, comprese le informazioni personali e le relative password. La vulnerabilità ha colpito anche portali importanti come Flickr, Yahoo e Imgur, mentre i portali iPhoneItalia, iPadItalia e SlideToMac sono al sicuro.
La falla esiste da due anni, dal dicembre 2011, ed è stata messa a posto in questi giorni nella versione OpenSSL 1.0.1g. Le versioni vulnerabili di OpenSSL vanno dalla 1.0.1 alla 1.0.1f, mentre non lo sono OpenSSL 1.0.0 e 0.9.8.
In pratica, questo bug permette a chiunque di leggere la memoria dei sistemi che utilizzato la versione di OpenSSL colpita da questa vulnerabilità, svelando le chiavi di sicurezza utilizzate per crittografie traffico, password, contenuti e nomi degli utenti.
I siti colpiti dal bug stanno già correndo ai ripari, aggiornando alla nuova versione di OpenSSL già testata e sicura (almeno per questa vulnerabilità…). Segnaliamo anche che tutti i siti Apple sono al sicuro, così come i dispositivi iOS e Mac.
Cosa fare, quindi, per difendersi da Heartbeed?
1. In via precauzionale, cambiate la password agli account che utilizzate più spesso, come quelli di Google, Facebook, Dropbox, Tumblr e Yahoo. PayPal ha assicurato che non ci sono stati problemi al proprio sito web (ma un cambio password fa sempre bene…). Anche Gmail non ha avuto problemi.
2. Controllate che altri siti minori a cui siete iscritti abbiano corretto la falla. Solo in quel caso procedete a cambiare la password, altrimenti questa operazione è inutile. Per sapere se il sito è affetto o meno da questo bug, collegatevi a questa pagina e digitate l’url interessato.
3. Cambiate immediatamente password a tutti i sevizi Bitcoin a cui siete eventualmente iscritti
4. Tutti i servizi webmail, online banking e social media sono potenzialmente affetti. Controllate.
5. Ripetiamo: aggiornate le vostre password dei servizi che usano OpenSSL, dopo che sono stati aggiornati. Aggiornate anche il vostro sistema operativo, sia dekstop che mobile.
Se gestite un sito web, la versione più recente di OpenSSL (1.0.1g) chiude la falla, quindi ogni sito che usi OpenSSL dovrebbe aggiornare all’ultima release immediatamente. Oltre ad aggiornare, è anche indispensabile che siti e servizi rigenerino le chiavi, revochino i loro certificati di cifratura e ne emettano dei nuovi.
Maggiori informazioni sono disponibili sul sito ufficiale.