Browse Tag

Heartbleed

Ancora problemi con Heartbleed

A distanza di poco più di un mese, circa trecentomila siti web risultano essere ancora vulnerabili ad Heartbleed, il bug di OpenSSL. C’è stato un miglioramento rispetto alla situazione iniziale, ma i pericoli sono ancora in agguato. Molti amministratori dei siti web colpiti da Heartbleed, per prevenire eventuali disastri e preoccupati per la sicurezza dei propri dati e di quelli degli utenti, si sono fiondati su aggiornamenti software. Il problema è che tali software sono stati sostituiti da versioni affette dal bug e quindi necessitano di ulteriori patch che offrano maggiore protezione.

Alcuni affermano che non c’è motivo di allarmarsi visto che, per la maggior parte dei siti più famosi del web, la soluzione è stata immediata ed efficace. Ma per coloro che possiedono siti meno noti? Qui il discorso cambia. Uno dei problemi principali legati a questa vicenda è che non c’è stata abbastanza informazione. Molti esperti ed informatici, spesso, si sono limitati a fornire un’unica soluzione: cambiare la password per determinate piattaforme, come Facebook, Pinterest, Instagram, Tumblr, Google, eccetera. Però un problema del genere, purtroppo, non si risolve così facilmente ed è per questo che bisognerebbe aiutare gli utenti a capire bene cosa è successo. Sono i dati personali che vengono esposti a rischi e che possono risultare disponibili a qualsiasi malintenzionato della rete. E ci sono stati già alcuni arresti: l’agenzia delle entrate canadese ne sa qualcosa.

Fonte: punto-informatico.it

Heartbleed: ci sono stati i primi arresti

Sono state arrestate le prime persone colpevoli di aver approfittato del bug in OpenSSL, ormai noto come Heartbleed. Ogni giorno si scopre che qualche software è vulnerabile e pochi riescono a risolvere il problema attraverso delle patch.

Il primo ad essere arrestato per aver sfruttato il bug è stato Stephen Arthuro Solis-Reyes, un giovane informatico che ha abusato dei dati presenti nei server della Canada Revenue Agency ( CRA ), agenzia delle entrate canadese. Le informazioni dei cittadini canadesi, quindi, sono state rese facilmente reperibili. Solis-Reyes, infatti, è stato arrestato per essersi impossessato dei dati di 900 contribuenti. Non è stato l’unico: in Canada ci sono stati altri arresti e ci sono buone possibilità che ne avverranno altri. Insomma, l’errore di programmazione in OpenSSL si sta dimostrando davvero una delle falle più pericolose per la sicurezza in Internet. Molto probabilmente ne sentiremo parlare ancora e si spera che a pervenire saranno esclusivamente buone notizie.

Fonte: punto-informatico.it

Heartbleed: una minaccia per la sicurezza di Internet

Che cos’è Heartbleed? Negli ultimi giorni si possono leggere molte notizie a riguardo, soprattutto online, ma c’è ancora un po’ di smarrimento. Anche in questo caso pare ci sia stato lo zampino della National Security Agency
( NSA ), l’agenzia governativa americana per la sicurezza nazionale. Ma proviamo a capirne di più concentrandoci sui punti fondamentali.

Heartbleed è un bug, ovvero un errore di programmazione presente nel protocollo OpenSSL, un sistema usato per la crittografia delle comunicazioni nel web. La falla è stata scoperta da Codenomicon, una società finlandese che si occupa di sicurezza, insieme a un informatico di Google. Quindi, moltissimi dati sono esposti a furti, in particolare numeri di carte da credito, comunicazioni presenti nei social network, password, servizi di posta elettronica, di e-commerce e di chat.
Mashable ha fornito una lista dei siti e dei servizi potenzialmente colpiti dal bug: infatti, suggerisce di cambiare la password per Facebook, Google, Pinterest, Yahoo e altri ancora. Sono, quindi, dei consigli più che delle certezze. Però, Heartbleed sicuramente rappresenta una delle più grandi minacce per la sicurezza di Internet che siano mai esistite. E quando spunta fuori anche un’agenzia come quella della NSA, allora la questione diventa ancora più delicata.

Secondo alcune fonti anonime raccolte da Bloomberg, Heartbleed era già conosciuto dalla NSA da circa due anni e gli agenti dell’intelligence americana hanno approfittato di questo errore di programmazione per intercettare numerose comunicazioni effettuate tra i cittadini. Ovviamente, la NSA smentisce tutto ciò affermando che “Il Governo Federale fa affidamento su OpenSSL per proteggere la privacy degli utenti dei siti governativi e di altri servizi online. Questa Amministrazione prende seriamente le proprie responsabilità nel collaborare per mantenere Internet aperta, interoperabile, sicura e affidabile. Se il Governo Federale, compresa l’intelligence, avesse scoperto questa vulnerabilità prima della scorsa settimana, avrebbe informato responsabilmente la community che gestisce OpenSSL“. Questa dichiarazione, alla luce dello scandalo Datagate, concede più di qualche dubbio. Milioni di siti web e circa un miliardo di dispositivi mobile sono risultati vulnerabili a causa di Heartbleed.

Dov’è la verità? Difficilmente potremo saperlo. La NSA, soprattutto negli ultimi tempi, respinge qualsiasi tipo di storia che la vede coinvolta negativamente; dall’altra parte, i grandi servizi di posta elettronica e i grandi social network tentano di vestire i panni delle vittime. Ma si conoscono bene gli interessi che ruotano attorno ai dati e ai metadati. Perciò, l’ipotesi di un loro coinvolgimento, anche minimo, è più che plausibile. Le vere vittime sono sempre gli utenti, quelli consapevoli.

Fonti: puntoinformatico.it
wired.it