Security bug HeartBleed - Siti internet interessati e consigli

Dicembre 2016

Rilevato nell'aprile 2014, il security bug HeartBleed fa parte delle minacce più serie che abbiano mai affettato la sicurezza degli scambi su internet..
Questa importante vulnerabilità ha toccato per ben due anni alcune versioni del toolkit di crittografia open source OpenSSL, utilizzato da numerosi siti internet per rendere sicuro lo scambio di dati sensibili.
Le ripercussioni di questo bug di sicurezza sono ancora sconosciute, ma questo ha ipoteticamente permesso il furto di dati sensibili su diversi siti internet. Quali servizi sono potenzialmente interessati da questa falla? Per gli utenti, quali sono le cose da fare per proteggersi dalle eventuali coseguenze di HeartBleed ?

Cos'è il security bug HeartBleed ?


HeartBleed è una vulnerabilità software importante che interessa l'open source library di crittografia OpenSSL, che è utilizzata per gestire gli scambi dati tra una postazione utente (computer) e un server. L'estensione del protocollo di sicurezza degli scambi SSL/TSL chiamato "Heartbeat ", che è particolarmente interessato da questo bug, agisce quando due server stanno per effettuare uno scambio criptato.
Il termine "HeartBleed" (cuore sanguinante) è stato scelto per designare questo security bug.
HeartBleed interessa tutti i siti internet, applicazioni mobile e apparecchiature di rete che utilizzano OpenSSL versione 1.0.1 e 1.0.1f.

Cosa non è HeartBleed


HeartBleed è un errore di encoding, e quindi non è un virus, né un malware.

Quando è stato scoperto?


HeartBleed è stato rivelato nell'aprile 2014 dalla società di sicurezza Codenomicon Defensics.
Il bug è presente nelle versioni dei software OpenSSL usciti dal marzo 2012.

Quali sono i rischi legati ad HeartBleed per gli utenti?


Secondo gli esperti di sicurezza informatica che l'hanno evidenziato, il bug HeartBleed permette ai pirati informatici di scoprire o intercettare senza lasciare traccia :
  • Il contenuto della memoria di un server, compresi i messaggi cifrati, transazioni bancarie, informazioni di connessione user (login e password), o ancora dati confidenziali.
  • Le chiavi di sicurezza dei certificati elettronici di sicurezza, utilizzati per cifrare gli scambi su internet.


Prima che le correzioni fossero fatte dai costruttori dei web server o i siti internet interessati (indicati più in basso nell'articolo), i pirati i pirati hanno quindi potenzialmente aver rubato parecchie informazioni sensibili, per circa due anni.

Propagazione del bug


L'OpenSSL library è ampiamente utilizzato su internet per permettere la sicurezza degli scambi, con i web server Apache e Nginx, che rappresentano la maggior parte dei server sul mercato.
Non sono però tutti affetti da questo bug.
Alcuni esperti di sicurezza informatica stimano che il 17% dei server considerati sicuri nel mondo, quindi circa mezzo milione di server SSL, era interessato dal bug al momento della sua scoperta.

Correzioni


Dalla scoperta del bug, i costruttori dei server mandano aggiornamenti per l'hardware e dei software per i server interessati.
Numerosi siti internet dicono di aver già apportato correzioni.

Principali siti e servizi interessati da HeartBleed


Tra im aggiori siti affettati dal bug HeartBleed che hanno indicato di aver applicato una patch di sicurezza :
In data 15 aprile 2014 :
  • Facebook
  • Google : Gmail, YouTube, Wallet, Google Play, Apps, et App Engine
  • Yahoo : Yahoo Mail, Flickr et Tumblr
  • Airbnb
  • Netflix
  • Dropbox
  • Instagram
  • Twitter
  • Pinterest
  • Amazon Web Services
  • SoundCloud
  • LastPass


Anche molti siti di e-commerce sono potenzialmente interessati da HeartBleed.
Il 15 aprile 2014, BlackBerry anuncia che una correzione è in corso per il proprio servizio Secure Work Space per l'iOS e Android, soluzione utilizzata per separare contenuti professionali e personali su mobile, e rendere sicura la flotta di smartphone nell'azienda.

Siti non interessati dal security bug


Alcuni siti non utilizzavano la versione dell'OpenSSL en questione, o molto semplicemente non utilizzavano la stessa library colpita dal bug.

Tra questi siti/fornitori servizi online :
  • LinkedIn
  • Apple
  • Amazon
  • Microsoft, Hotmail/Outlook,
  • eBay
  • Groupon
  • PayPal
  • Evernote
  • 1Password.

Qualche raccomandazione per gli utenti

Testare la vulnerabilità di un sito internet al security bug HeartBleed

  • Una pagina dedicata permette di testare la vulnerabilità di un sito al bug HeartBleed inserendovi l'URL :

Filippo.io. Un altro sito per verificare se un sito è coinvolto.
  • Delle estensioni Chrome e Firefox permettono di sapere se un sito internet in particolare è interessato da HeartBleed.

Seguire attentamente gli estratti conto bancari


Alcuni siti di e-commerce possono essere stati vittime di furti di dati sensibili, permettendo ai pirati di recuperare dati di carte di credito.
Alcuni esperti di sicurezza raccomandano quindi di seguire attentamente gli estratti conto delle transazioni effettuate con carte di credito utilizzate per acquisti online.

Diffidare degli attacchi Phishing nella scia di HeartBleed


Il bug HeartBleed potrebbe aumentare gli attacchi di phishing fatti via mail : i pirati invitano gli utenti a cambiare le loro password su alcuni servizi online (social network, banche, etc.), reindirizzandoli verso finte pagine web, per rubare i loro dati di identificazione a quesi servizi.

Cambiare Password


È raccomandato cambiare password : questa operazione deve essere realizzata non prima che i siti internet interessati abbiano apportato le correzioni necessarie.
Dato che il bug HeartBleed potrebbe essere stato sfruttato per un periodo di almeno due anni, un gran numero di servizi possono esserne interessati.

Altri consigli di sicurezza


Potrebbe anche interessarti :
Il documento intitolato « Security bug HeartBleed - Siti internet interessati e consigli » da CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.