Software Failure at meksONE. Press left mouse button to continue. Guru Meditation #010000FF8.000FE800
FavReset
-
+
FavSet
geOS
WB1.2
Noise
CRT
TxtPhase
stopGuru
FxReset
geOS (def)
WB1.2 (def)
Noise(def)
CRT(def)
TxtPhase(def)

Questo articolo è più vecchio di 6 mesi.

  • Internet
  • Internet
https://meksone.com/il-super-buco-nella-sicurezza-di-internet-si-chiama-heartbleed/?qrcode=202505110701

Parafrasando “Attila, fratello flagello di Dio”, Heartbleed è il “terremoto traggedia” che sta sconquassando Internet, e questa volta non si tratta di allarmismo (come era successo qui, mea culpa). Il problema è serio, anzi serissimo, ma andiamo per gradi.

Cosa è Heartbleed? E’ il simpatico soprannome dato al bug CVE-2014-0160 che affligge OpenSSL.

Cosa è OpenSSL? E’ un software che utilizza i protocolli SSL e TLS per criptare il traffico Internet e rendere sicure le comunicazioni. Avete presente il lucchettino accanto all’indirizzo di molti siti web, come quello della vostra banca on-line? Ecco, quella roba li (su Wikipedia per info più dettagliate).

Ma qual è il problema? Semplicissimo: per colpa di questo bug, un malintenzionato può tranquillamente leggere in chiaro i dati che transitano fra server e utente, e la cosa ancor più bella è che non lascia nemmeno tracce.

E adesso? Eh, la risposta si trova qui. Scusate, ma stasera sono molto trash.

In pratica, sfruttando questa vulnerabilità, è possibile intercettare password e altri dati sensibili in pochissimo tempo e senza lasciare tracce; si stima che i sistemi colpiti siano oltre mezzo milione, e il problema non è circoscritto ai siti Web, ma anche a tutti i dispositivi che utilizzano le versioni insicure di OpenSSL (apparati di rete come switch e router, per esempio). Inoltre, il bug è in circolazione da oltre due anni, e solo ora, grazie alla segnalazione di Neel Mehta, un dipendente Google e di Riku, Antti e Matti di Codenomicon, è uscito allo scoperto. Non si conosce con precisione l’entità del danno, quanto (e se) è stato sfruttato con intenti criminosi, da chi e verso quali bersagli. E l’aspetto disarmante della faccenda è che non si saprà mai con certezza, a meno che, come spesso accade, i criminali non si divertano a rendere pubbliche le loro scorribande per incutere un pò di sano terrore.

Per fortuna non ci sono solo brutte notizie: Google, Apple, Microsoft, Twitter e Facebook non sono state colpite (mentre Yahoo si, ma ha già apportato le dovute correzioni); qui, una lista di 1000 siti sottoposti a un test di sicurezza, mentre qui c’è un simpatico strumento on-line per testare immediatamente la sicurezza di un sito. Ah si, anche Amazon sembra a posto.

Un consiglio: a parte i già citati servizi offerti da Google (Gmail, Google Docs…), Microsoft (Live Mail, Skydrive…), Twitter, AmazonFacebook, Yahoo e Apple (iCloud), è meglio non accedere ad altri siti o servizi che non abbiamo dichiarato apertamente di non essere a rischio o di aver corretto il problema.

Su Wired.it c’è un articolo abbastanza dettagliato, che vi consiglio di leggere; se poi volete sapere tutto o quasi, allora dovete leggere qui, in Inglese ovviamente.





#?!*@${%
#?@!
https://meksone.com/il-super-buco-nella-sicurezza-di-internet-si-chiama-heartbleed/?qrcode=202505110701
#?!*@${%
#?@!

2025 meksONE. Copyright (per quanto vale), tutto mio.