Allarme Heartbleed

Heartbleed, il super-bug che spaventa la rete: a rischio i dati di milioni di siti



E' come se la porta di casa avesse una serratura difettosa: non è detto che ci sia stato un furto, ma per i ladri è molto più facile entrare. Così gli esperti spiegano cosa sta accadendo a milioni di siti internet, messi a rischio da una enorme falla scoperta nel sistema di protezione dei dati Dati e informazioni sensibili divenuti facile preda di pirati informatici in grado di carpire password, codici segreti, numeri di carte di credito, comunicazioni private, oppure di ottenere l'accesso ad e-mail, conti bancari e addirittura alle comunicazioni riservate di Fbi e servizi di intelligence.A rischio milioni di siti - Il “superbug” che sta facendo tremare il web è stato non a caso chiamato “Heartbleed”, cuore che sanguina, e potrebbe causare la più clamorosa fuga di informazioni nella storia di internet. Riguarda il software “OpenSSL”, il più diffuso al mondo per il criptaggio, usato da due terzi dei server, compresi quelli di banche, social media, siti di gestione della posta elettronica o per le vendite online. Il bug - come hanno scoperto un gruppo di ricercatori finlandesi in California e due esperti in sicurezza di Google - è presente da almeno due anni, e nessuno può avere la certezza di esserne rimasto immune: da Yahoo! a Google, da Facebook a Twitter, da Apple a Microsoft, da Amazon a Wikipedia. Tutti utilizzano quel 'lucchetto' (riconoscibile dalla sigla 'htpps') messo lì a protezione di milioni e milioni di utenti e clienti e che ora "si è rotto".Impossibile individuare gli hacker - Quello che rende particolarmente pericoloso “Heartbleed”, si spiega, è che può essere utilizzato dagli hacker senza che questi, una volta rubate le informazioni desiderate, lascino dietro di sé alcuna traccia digitale. Impossibile individuarli, insomma, e impossibile avere un quadro preciso dei dati sensibili sottratti alla rete e dei danni causati.In tutto il mondo si corre ai ripari - Molti siti - tra cui Facebook, Google, Amazon e Yahoo! - hanno comunicato di aver già posto rimedio al problema aggiornando il software ed eliminando ogni vulnerabilità. La scoperta di questa enorme falla nella rete potrebbe rendere urgente un cambio di username e password per tutti gli utenti di internet coinvolti, oltre a costringere i siti web interessati a cambiare le chiavi virtuali attraverso cui vengono criptati i messaggi e i dati scambiati tra i siti e i loro utenti o clienti.Per tutelare gli utenti siti bloccati in Canada - In Canada, per precauzione, l'Agenzia del fisco ha bloccato l'accesso al sito per le dichiarazioni online, e ovunque si stanno prendendo contromisure in grado di risolvere ogni problema di vulnerabilità dei sistemi di protezione dei dati. L'invito e a non fare allarmismi: ma la privacy di milioni e milioni di internauti è messa ancora una volta a dura prova.Cosa deve fare un utente - Cambiare le password dei servizi che usano OpenSSL dopo che sono stati aggiornati. Aggiornare il proprio sistema, le distribuzioni Linux stanno rilasciando update in questo momento. Tenere sotto controllo i propri account.Per gli amministratori di siti possibile fare un check-up immediato - C'è ad esempio, uno strumento messo a disposizione da Filippo Valsorda, un esperto di sicurezza informatica italiano: su filippo.io/Heartbleed/ basta inserire l'indirizzo web di qualsiasi sito per vedere se è a rischio o no. Come riferisce lo stesso Valsorda, al momento le richieste di test viaggiano sulle 12mila al minuto. Invece, LastPass che normalmente aiuta gli utenti a memorizzare le password, ha messo a disposizione uno strumento per verificare se i siti siano stati affetti da Heartbleed e se sia il caso di aggiornare le password.

Fonte Tiscali.it

Altro articolo da Lastampa.it

Heartbleed, ecco quali password cambiare

È allarme rosso online, per la scoperta di una falla nel sistema OpenSSL, il protocollo di sicurezza usato dalla grande maggioranza dei siti per la trasmissione di dati più delicati: carte di credito, password, informazioni personali e tutto quanto transita e vive ormai sulla Rete. Heartbleed ha immediatamente mobilitato tutti i più importanti siti del mondo nella installazione della patch di sicurezza, che dovrebbe tappare il buco, messa a disposizione ieri.

Ma qual è il confine tra il sensazionalismo e la realtà, tra il pericolo reale e quello amplificato dal tam tam del web? E soprattutto, chi deve preoccuparsi e mettersi ai ripari?

Gastone Nencini, Country Manager in Italia di TrendMicro , società specializzata in sicurezza informatica, non vuole fare sconti, ma neppure esasperare i termini del problema.

“L’allarme ha alzato il livello di attenzione, ma le contromisure sono, per così dire, posticce, nel senso che sono misure su livelli di compromissione che ancora non conosciamo”. Questo è il punto. Immaginate che, da due anni, qualcuno abbia avuto la possibilità teorica di ascoltare le vostre conversazioni, e moltiplicate lo stesso problema per centinaia di milioni di persone. Impossibile sapere se, cosa, quanto è stato captato. In linea teorica, la falla del protocollo potrebbe essere rimasta ignota, dal 2011, anche ai cybercriminali.

Il primo pensiero, naturalmente, corre alle banche. Sono molte quelle che adottano, per le operazioni in rete, il protocollo incriminato. Una chiamata al servizio clienti della nostra banca ci ha rassicurato sul fatto che “non risulta nessun allarme”.

Intanto, esiste anche uno strumento online per verificare se un Url è coinvolto nel problema o no. Si inserisce l’indirizzo e si attende il verdetto.

La sicurezza delle banche è sempre difficile da sondare, ma Nencini sembra rassicurare, almeno in parte, sul rischio di transazioni indesiderate sul conto corrente.

“Molto dipende dai sistemi di controllo delle banche - ci spiega - anche se qui dobbiamo ragionare come se fosse stata rubata la chiave del canale di trasmissione, che doveva essere sicuro, tra cliente e sito, quindi è teoricamente tutto leggibile”, tuttavia “da qui a dire che siano possibili trasferimenti bancari in tempo reale e fare transazioni online ce ne passa”. Le banche adottano solitamente una serie di barriere sulle operazioni sul conto: dalla doppia password a “controlli che avvengono addirittura manualmente, da parte di un operatore, quando si superano certi importi”.

Possibile sì, ma non molto in alto nel calcolo delle probabilità. Più che lo scippo dal conto, “il rischio è il furto di dati da siti di e-commerce, su cui si opera con carta di credito, e da tutti quei siti a cui affidiamo informazioni personali: Gmail, Facebook, servizi di cloud, pubblici e aziendali”.

Su questi giganti il sito mashable.com ha effettuato un vero e proprio sondaggio, per capire chi era colpito dal problema, chi no e cosa è stato fatto per risolverlo.

Secondo i dati raccolti, Facebook, non si sa quanto “infettato”, ha installato la patch, ma suggerisce a tutti di cambiare password, pur nell’attuale assenza di segnali di pericolo. Sulla stessa linea si pone Tumblr, mentre Twitter non ha dato risposte chiare, così come Apple. Google è stato colpito su quasi tutti i fronti, ma ha già alzato le difese e, sebbene non “necessario”, suggerisce un cambio di password. In emergenza anche Yahoo, che sembra abbia già messo al riparo praticamente tutti i suoi servizi.

Linkedin risulta sano: non ha installato l’aggiornamento del 2011 su cui si è poi scoperto il baco. Altrettanto sani si dichiarano Amazon, particolarmente strategico per l’uso di carte di credito, almeno per quanto riguarda il pubblico. Qualche problema, infatti, si registra su Amazon Web Services (per gli operatori del sito web). Perfettamente pulita si dichiara invece Microsoft, inclusi i suoi servizi di posta elettronica Hotmail e Outlook, e così pure PayPal, sui cui server transitano fiumi di denaro elettronico.

Cattive notizie per chi usa, e sono tanti, il servizio di archiviazione online di Dropbox. Il servizio è stato coinvolto dal problema, anche se ora sarebbe corso al riparo.

Il consiglio per tutti gli utenti è la modifica delle password su tutti i siti frequentati che adottino il protocollo OpenSSL, riconoscibile dalla comparsa, nell’Url, dell’acronimo “https”. Per i provider, Nencini, di TrendMicro, suggerisce di non limitarsi alla installazione della patch, ma di cambiare anche i certificati per la cifratura.

In ogni caso, nessuno deve aspettarsi, in queste ore, deflagrazioni online di furti di identità e acquisti scriteriati sui siti di commercio elettronico. Se qualcuno ha fatto bottino dei vostri dati starà nell’ombra finché l’allarme è alto.

“Il danno, potenzialmente, è molto esteso” conclude Nencini “ma per gli effetti dobbiamo attenderci un’onda lunga”. Le analisi potranno dirci, con notevoli margini di incertezza, se aumenteranno le truffe sulle carte di credito o ci sarà una lunga stagione di furti di identità digitale. C’è da sperare che questo allarme aiuti ad alzare in modo costante l’attenzione sul problema delle vulnerabilità dei software in Rete.

Heartbleed: la minaccia continua su stampanti router e webcam

Secondo ricercatori del Michigan, la falla di sicurezza è ancora aperta su migliaia di dispositivi che si connettono a internet. E che spesso sono difficili da aggiornare

Ricordate Heartbleed , la falla scoperta sul protocollo di sicurezza online (OpenSSL) più usato sul web? Sembra che la sua minaccia non si sia esaurita, nemmeno dopo che quasi tutti i siti esposti sono corsi al riparo, installando il software correttivo necessario.

Secondo Nicholas Weaver, esperto di informatica della Università di Berkeley, in California, ci sarebbero ancora migliaia di dispositivi basati su cloud ancora vulnerabili ad Heartbleed, malgrado la patch già disponibile.
Nel corso delle ultime settimane, Weaver insieme a un team di ricercatori presso l’Università del Michigan ha scandagliato la Rete per verificare a che punto è la bonifica del baco: la maggior parte dei siti risulta aggiornata, ma a destare allarme sono decine di migliaia di dispositivi, tra cui router, server di storage, stampanti, firewall hardware, videocamere e altro ancora, che restano vulnerabili alla minaccia.

Non è la Rete frequentata dagli uomini, insomma, a preoccupare, ma la cosiddetta Internet delle cose, di cui si parla spesso come realtà futura, benché si tratti di qualcosa già ben presente tra noi.
Il problema coinvolgerebbe anche alcuni big dell’informatica: dalla nuova generazione di termostati Nest, recentemente acquistata da Google, sebbene l’azienda neghi che il problema possa coinvolgere l’utenza privata, ai router AirPort Extreme e dispositivi di backup Time Capsule di Apple (per i quali è appena uscito un aggiornamento software che risolve il problema), fino ad arrivare a sistemi di controllo industriale Siemens, usati per gestire macchinari pesanti nelle centrali elettriche e impianti di acque reflue.
I ricercatori universitari del Michigan hanno redatto una lista di prodotti a rischio, che porta dritta dritta in molte case. Rientrano nell’elenco, infatti, stampanti HP (poche quelle consumer, secondo l’azienda, che starebbe già sviluppando aggiornamenti necessari), sistemi di videoconferenza Polycom, firewall WatchGuard, sistemi VMWare, server di archiviazione Synology.
In più, c’è un’aggravante: molti dei dispositivi esposti alla falla, quindi manipolabili da potenziali malintenzionati, possono essere aggiornati solo manualmente, dal proprietario. Una operazione che richiederebbe l’accesso al sistema e la possibilità di installare un nuovo firmware. Inutile dire che, quando fattibile, non è il genere di operazione che un utente medio svolga spontaneamente e con disinvoltura.

La buona notizia è che, secondo Weaver e l’Università del Michigan, molti dispositivi che usano OpenSSL non erano vulnerabili, alcuni perché hanno usato una vecchia versione del software di sicurezza, altri perché la funzionalità OpenSSL problematica non è stata abilitata. “La vulnerabilità funziona solo se i dispositivi accettano messaggi heartbeat”, ha dichiarato al sito americano di Wired Zakir Durumeric, dell’Università del Michigan, “e abbiamo scoperto che molti dispositivi su internet non li accettano”.
Per ora tocca accontentarsi. Poco più di dieci giorni fa, è stato arrestato il primo, giovanissimo, cracker che abbia provato ad approfittare di Heartbleed. Non sarà l’ultimo, probabilmente.

Fonte lastampa.it