Annuncio pubblicitario

La vulnerabilità di Heartbleed SSL sta facendo notizia in tutto il mondo e le dichiarazioni errate sulla stampa e online stanno creando confusione. Come puoi stare al sicuro e far sì che i tuoi dati personali non vengano divulgati?

Cos'è Heartbleed? Bene, non è un virus

Probabilmente hai sentito Heartbleed descritto come un virus. Non è così: in realtà, è un punto debole, una vulnerabilità nei server che eseguono OpenSSL. Questa è l'implementazione open source di SSL e TLS, i protocolli utilizzati per le connessioni sicure - quelli che iniziano https: // piuttosto che il solito http: //.

muo-heartbleed-help-https

Questa vulnerabilità, più comunemente indicata come bug, crea essenzialmente un buco attraverso il quale gli hacker possono aggirare la crittografia. Confermato il 7 aprileesimo 2014, si verifica in tutte le versioni di OpenSSL tranne 1.0.1g. La minaccia è limitata ai siti che eseguono OpenSSL: sono disponibili altre librerie SSL e TLS, ma OpenSSL è ampiamente utilizzato sui server sul Web. Esiste una soluzione al problema, ma potrebbe non essere stata applicata ai siti Web visitati regolarmente per attività sicure. Questi potrebbero essere shopping online, giochi d'azzardo e altri siti Web a tema per adulti o persino social network.

instagram viewer

Di conseguenza, ogni tipo di informazione personale e finanziaria potrebbe essere a rischio.

Per avere un'idea di quanto sia grande un affare Heartbleed (e perché è così chiamato), Ryan ha recentemente inserito questo bug di spanning su Internet nel contesto Un enorme bug in OpenSSL mette a rischio gran parte di InternetSe sei una di quelle persone che hanno sempre creduto che la crittografia open source fosse il modo più sicuro per comunicare online, avrai una sorpresa. Leggi di più . Dobbiamo sottolineare che Heartbleed è una vulnerabilità basata su Internet e pertanto colpisce gli utenti di tutti i sistemi operativi, desktop e mobili.

Quindi, è un grosso problema, ma cosa puoi fare al riguardo?

Ignora l'hype e non farti prendere dal panico

Bene, c'è una cosa che non dovresti fare: il panico. Molto è stato scritto su Internet e sulla carta stampata negli ultimi giorni e molti lo sono hype, doom porn che porterebbe gli effetti della famosa trasmissione radiofonica di War of the Worlds di Orson Welles vergogna.

muo-heartbleed-help-dontpanic

Gran parte di ciò che hai già visto sarà stato messo insieme da comunicati stampa e altro rapporti di giornalisti che non hanno familiarità con la terminologia e la mancanza di una chiara comprensione della rischi.

Ad esempio, potresti sapere che dovresti cambiare le tue password immediatamente (non del tutto vero, dovremmo aggiungere - vedi sotto). Ma sapevi del rischio di phishing?

Il rischio di phishing

Servizi web responsabili, banche e social network che sono stati colpiti da Heartbleed ti lasceranno cadere e-mail per informarti che hanno riparato la vulnerabilità e ti consiglia di cambiare il tuo parola d'ordine.

Naturalmente, dovresti farlo, ma tieni presente che questa situazione rappresenta un'opportunità ideale per i phisher per iniziare a inviare e-mail false, complete di collegamenti incorporati alla pagina "cambia password" - in realtà, un sito web progettato per raccogliere le tue dettagli.

muo-heartbleed-help-pinterest

Nessuno dei servizi che usi dovrebbe consigliare di fare clic su un collegamento per cambiare la password in un'e-mail inviata non richiesta. Sfortunatamente, IFTTT lo ha fatto, come Pinterest (sopra). Questa è una cattiva pratica e dà l'impressione che tale collegamento sia accettabile e debba essere cliccato.

A meno che non sia stata richiesta l'e-mail, non è possibile fare clic su tale collegamento.

Le e-mail di ripristino della password Heartbleed non devono includere collegamenti di accesso. In tal caso, eliminali, quindi visita il sito Web digitando l'indirizzo nel browser (o selezionandolo dalla cronologia o dai preferiti a seconda di come procedi con queste cose). Da lì, reimposta la password ...

... ma solo se in questo momento è necessario.

Sfortunatamente, la necessità guidata dalle pubbliche relazioni di far sembrare che le aziende stiano facendo qualcosa riguardo alle minacce come Heartbleed può rivelarsi altrettanto dannosa della minaccia stessa.

Quindi, dovresti cambiare le tue password?

Uno dei principali consigli di Heartbleed in circolazione è che dovresti cambiare immediatamente le tue password.

Tutti loro.

Questo, purtroppo, è un esempio della disinformazione a cui ho fatto riferimento nell'introduzione. Supponi di utilizzare la stessa password per diversi siti Web. Prima di tutto, questa è una cattiva pratica e dovresti riconsiderare a farlo in futuro (per non parlare creare password più sicure Password sicure: genera una password diversa per ogni sito Web Leggi di più ).

muo-heartbleed-help-Password

In secondo luogo, se cambi indiscriminatamente tutte le tue password, è probabile che lo farai su un sito Web che non è in esecuzione su un server con patch, in cui Heartbleed è ancora a vulnerabilità.

Inavvertitamente hai potenzialmente condiviso la tua vecchia password e la tua nuova password con quelle che sono in grado di sfruttare la vulnerabilità per le loro operazioni di frode e spam.

Pertanto, è necessario modificare la password sito per sito solo quando si sa che sono stati patchati, ovvero la correzione è stata applicata e la vulnerabilità chiusa.

Verifica quali siti Web sono stati corretti

Inizia controllando quali siti Web sono liberi dalla vulnerabilità Heartbleed.

Ci sono due modi per farlo. Per prima cosa, vai a Mashable dove un è possibile trovare un elenco aggiornato dei siti Web di grandi nomi interessati da Heartbleed, insieme a consigli sull'opportunità di modificare la password o meno.

Per i siti Web più piccoli, questo eccellente strumento di ricerca ti dirà immediatamente se il sito è stato patchato o meno.

Un'alternativa è la Controllo Chromebleed estensione per Google Chrome.

Se i siti Web utilizzati sono stati interessati e non hanno ancora corretto la vulnerabilità Heartbleed, evitare l'accesso fino a quando la situazione non viene risolta.

Conclusione: è un gioco d'attesa

Affrontare la tempesta Heartbleed non dovrebbe essere un problema per la maggior parte. Attenersi al corso che abbiamo consigliato sopra e non modificare le password fino a quando non viene richiesto dai siti Web e dai servizi corrispondenti.

muo-heartbleed-help-heart

È inoltre possibile utilizzare nuovi strumenti per verificare se il sito Web che si intende visitare (o anche quello che si esegue) è stato interessato e se è stata applicata una correzione.

Ancora più importante, stai al sicuro e sii paziente. Il potenziale per Heartbleed di causare enormi problemi è ancora presente: evita qualsiasi sito Web che richiede patch fino a quando non sai che sono ora sicuri.

Crediti immagine: Bullet Heart tramite Shutterstock, HTTPS tramite Shutterstock, Non farti prendere dal panico tramite Shutterstock, Password tramite Shutterstock

Christian Cawley è vicedirettore per la sicurezza, Linux, DIY, programmazione e spiegazione tecnica. Produce anche The Really Useful Podcast e ha una vasta esperienza nel supporto desktop e software. Un collaboratore della rivista Linux Format, Christian è un armeggiatore di Raspberry Pi, amante di Lego e fan dei giochi retrò.