Tweet
FONTE GOOGLE
Heartbleed, il Web corre ai ripari
Il baco recentemente scoperto nella libreria OpenSSL getta mezza Internet nel panico. Migliaia i siti coinvolti, tra cui anche grossi nomi. In parecchi casi sarà necessario cambiare password per restare al sicuro
Heartbleed, il Web corre ai ripariIl senso del pericolo che Internet corre al momento a causa del baco nella libreria OpenSSL lo dà Bruce Schneier, esperto di sicurezza solitamente attento con le parole ma che non esita a definire Heartbleed (nome ufficiale del bug di cui sopra) un problema di livello "catastrofico".
A causa del baco, spiega Schneier, un malintenzionato o una gang di criminali possono "estrarre" 64 chilobyte di dati dalla memoria RAM di server vulnerabile compromettendo qualsiasi cosa, dalle chiavi private SSL alle password utente e tutto il resto. Il numero stimato di siti coinvolti nella "crisi" Heartbleed ammonta a mezzo milione, e Schneier evoca prevedibilmente la possibilità che il baco sia stato messo lì apposta dall'intelligence statunitense (la solita NSA) o da qualcun altro interessato a spiare l'intero mondo connesso. Probabilmente si tratta solo di un incidente, dice Schneier, ma al momento non ci sono prove né in un senso né nell'altro.
Tutti i lidi di Internet sono coinvolti nel problema per un motivo o per l'altro, spiegano gli esperti di sicurezza, e a peggiorare una situazione già delicata ci pensa il fatto che i potenziali attacchi non possono essere tracciati e quindi eventuali brecce nella sicurezza di siti anche importanti passano senza colpo ferire.Come si esce dal tunnel di Heartbleed? I server dei siti vulnerabili (come Yahoo!) stanno procedendo all'aggiornamento a una (nuova) versione sicura di OpenSSL, mentre agli utenti di detti siti viene chiesto di cambiare la password quanto prima (come successo agli iscritti di Ars Technica).
Uno sviluppatore ha approntato un sito grazie al quale è possibile testare la presenza della falla su un nome di dominio, mentre LastPass rassicura sulla robustezza del proprio servizio e sul fatto che, grazie a layer di protezione aggiuntivi, la vulnerabilità in OpenSSL (che pure era presente sul server) non ha fatto danni. Insomma, Heartbleed è un problema da non sottovalutare: ma non è il caso di farsi prendere dal panico, e occorre valutare caso per caso come è meglio agire.
Heartbleed, il Web corre ai ripari
Il baco recentemente scoperto nella libreria OpenSSL getta mezza Internet nel panico. Migliaia i siti coinvolti, tra cui anche grossi nomi. In parecchi casi sarà necessario cambiare password per restare al sicuro
Heartbleed, il Web corre ai ripariIl senso del pericolo che Internet corre al momento a causa del baco nella libreria OpenSSL lo dà Bruce Schneier, esperto di sicurezza solitamente attento con le parole ma che non esita a definire Heartbleed (nome ufficiale del bug di cui sopra) un problema di livello "catastrofico".
A causa del baco, spiega Schneier, un malintenzionato o una gang di criminali possono "estrarre" 64 chilobyte di dati dalla memoria RAM di server vulnerabile compromettendo qualsiasi cosa, dalle chiavi private SSL alle password utente e tutto il resto. Il numero stimato di siti coinvolti nella "crisi" Heartbleed ammonta a mezzo milione, e Schneier evoca prevedibilmente la possibilità che il baco sia stato messo lì apposta dall'intelligence statunitense (la solita NSA) o da qualcun altro interessato a spiare l'intero mondo connesso. Probabilmente si tratta solo di un incidente, dice Schneier, ma al momento non ci sono prove né in un senso né nell'altro.
Tutti i lidi di Internet sono coinvolti nel problema per un motivo o per l'altro, spiegano gli esperti di sicurezza, e a peggiorare una situazione già delicata ci pensa il fatto che i potenziali attacchi non possono essere tracciati e quindi eventuali brecce nella sicurezza di siti anche importanti passano senza colpo ferire.Come si esce dal tunnel di Heartbleed? I server dei siti vulnerabili (come Yahoo!) stanno procedendo all'aggiornamento a una (nuova) versione sicura di OpenSSL, mentre agli utenti di detti siti viene chiesto di cambiare la password quanto prima (come successo agli iscritti di Ars Technica).
Uno sviluppatore ha approntato un sito grazie al quale è possibile testare la presenza della falla su un nome di dominio, mentre LastPass rassicura sulla robustezza del proprio servizio e sul fatto che, grazie a layer di protezione aggiuntivi, la vulnerabilità in OpenSSL (che pure era presente sul server) non ha fatto danni. Insomma, Heartbleed è un problema da non sottovalutare: ma non è il caso di farsi prendere dal panico, e occorre valutare caso per caso come è meglio agire.