Un bug critico in OpenSSL viola i dati di due terzi dei server Internet

Heartbleed, tradotto dall’inglese in cuore sanginante è un bug venuto allo scoperto il 7 Aprile scorso (esistente dal 31 Dicembre 2011) e che si trova nella libreria crittografica open-source OpenSSL.

ssl

Si stima come per il 17 per cento (ovvero circa mezzo milione) dei server web riportati come certificate authority (autorità di certificazione) possa essere ritenuto vulnerabile permettendo appunto il furto delle chiavi private.

I protocolli crittografici TLS (Transport Layer Security) SSL (Secure Sockets Layer) i quali vengono riportati attraverso il piccolo lucchetto e dalla lettera s posta davanti al protocollo di trasferimento (https) che si occupano della sicurezza di comunicazione e privacy su internet per applicazioni quali web, email, instant messaging (IM) e alcune reti private virtuali (VPN) potrebbero essere soggetti alla vulnerabilità.

Il bug Heartbleed consente dunque a chiunque abbia conoscenza in materia di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. 

Questo comprometterebbe le chiavi segrete utilizzate per identificare i fornitori di servizi (password WEP, WPA e WPA2 utilizzate per le connessioni ad internet) e per crittografare il traffico, i nomi e le password degli utenti e il loro contenuto effettivo. 

Ciò consente anche agli aggressori di spiare le comunicazioni, di rubare dati sensibili direttamente dai servizi e dagli utenti e di impersonare l’utente al fine di utilizzare detti servizi, tutto questo a sua insaputa.

Numerosi siti offrono diversi strumenti per la verifica della sicurezza (qui in basso ne riportiamo uno), se si riscontrano server a rischio ne viene sconsigliato l’utilizzo almeno fino a quando non vengano patchati correttamente, in seguito cambiate le password per una maggiore sicurezza.

HeartBleed Test

(Visited 49 times, 1 visits today)

1 commento

  1. Grazie per la notizia Francesco, io non sapevo di questo bug 🙂
    con HeartBleed Test ho controllato subito il conto Paypal se è sicuro il sito, tu dirai che era quasi scontato che era sicuro, però ho controllato lo stesso e mi dice questo risultato con una scritta verde :
    All good, http://www.paypal.com seems fixed or unaffected!
    unaffected tradotto con google inalterato 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *