giovedì 21 Novembre 2024,
Secondo alcuni analisti la falla scoperta all’interno di OpenSSL, Heartbleed, è il più grave problema di sicurezza nella storia di Internet, e non riguarda esclusivamente i server. OpenSSL è il sistema per criptare le comunicazioni online (in modo che solo emittente e ricevente le possano decifrare) utilizzato su circa due terzi dei server di Internet, è open source e proprio per questo motivo è molto diffuso, perché offre soluzioni a basso costo e con un alto livello di affidabilità. La vulnerabilità permette teoricamente a un utente malintenzionato di ottenere dati da una connessione sicura, stabilita tra un computer e un server, senza che il proprietario del dispositivo se ne possa rendere conto.
Non solo server
Cisco System, uno dei più grandi produttori al mondo di sistemi per creare reti e collegarsi a Internet, ha diffuso un comunicato dove si spiega che la maggior parte dei suoi server e dei suoi servizi online non sono stati interessati da Heartbleed. Cisco ha però ammesso di avere riscontrato la presenza della falla in alcuni altri suoi prodotti, tra i quali ci sono: alcuni telefoni che funzionano collegandosi a Internet e non alla semplice rete telefonica; alcuni server venduti alle aziende per organizzare teleconferenze; sistemi per le comunicazioni interne negli uffici.
Almeno 16 diversi prodotti realizzati da Cisco sono risultati vulnerabili e la società sta lavorando per capire se altri 65, ritenuti a rischio, possano essere interessati da Heartbleed. La società ha annunciato che saranno diffusi nei prossimi giorni software di aggiornamento per risolvere il problema ed evitare che qualcuno si possa collegare ai sistemi difettosi per ottenere informazioni riservate, sfruttando la falla all’interno di OpenSSL.
Juniper, uno dei principali concorrenti di Cisco, ha annunciato di non avere trovato traccia di Heartbleed nei suoi principali prodotti. Un unico dispositivo della società, che serve per effettuare chiamate online, è risultato vulnerabile.
Cisco e Juniper utilizzano OpenSSL in un numero limitato di loro dispositivi, per questo motivo non ci sono grandi problemi con i loro prodotti. Apple con un comunicato ha confermato di non avere riscontrato problemi legati a Heartbleed nei suoi servizi online né nei sistemi operativi OS X per i Mac e iOS per iPhone e iPad.
La vulnerabilità potrebbe essere invece presente in numerosi router per uso domestico, le scatole che abbiamo in casa cui si collegano i computer e gli altri dispositivi per avere accesso a Internet. Di solito questi sistemi sono configurati per bloccare il traffico esterno quindi non dovrebbero esserci particolari problemi per la tutela dei propri dati. Un giro sul sito del produttore del proprio router per verificare che sia tutto a posto non costa comunque nulla, potrebbero essere disponibili aggiornamenti da effettuare per eliminare la falla.
Siti
Google, Microsoft, Facebook, Amazon, Yahoo e molte altre hanno aggiornato i loro sistemi per eliminare Heartbleed. Alcune società hanno potuto farlo prima del 7 aprile, quando la falla era ancora il segreto più grande nella storia di Internet. Altre, come Yahoo e Amazon, sono dovute correre ai ripari dopo l’annuncio di lunedì, diffuso in fretta e furia perché si temeva che la notizia stesse per trapelare su altri canali non ufficiali, dando un pericoloso vantaggio a chi organizza gli attacchi informatici online.
Password
Secondo gli esperti di sicurezza e diversi gestori di servizi online, per stare tranquilli può essere una buona idea cambiare le proprie password soprattutto se si usa la stessa per più account. Le probabilità che qualcuno vi abbia rubato i dati di accesso ai servizi di posta o a un social network non sono comunque molto alte, ma è bene ricordare che la falla è esistita per almeno due anni. Alcuni siti come Disqus, il sistema per scrivere commenti che usiamo anche qui sul Post, raccomandano di cambiare quanto prima la propria password, mentre altri a partire da Google sono meno categorici e consigliano di farlo perché non si sa mai.
Prima di cambiare la password, verificate comunque che il sito che vi interessa sia stato aggiornato per eliminare la falla di Heartbleed. Se usate la stessa password per più servizi, può essere l’occasione per cambiarla e per usarne una diversa per ogni account.
