Negli ultimi mesi, abbiamo sentito parlare tantissimo del bug di sicurezza, noto col nome in codice HeartBleed o abbiamo vissuto i suoi effetti.

Cos’è? Come ci si deve difendere?

Si tratta di un bug di sicurezza del software di cifratura OpenSSL. Consiste in un’errata programmazione nella libreria OpenSSL, che gestisce le sessioni cifrate della nostra navigazione. Questo avviene quando usiamo sul browser il protocollo HTTPS e tutte le sessioni cifrate di autenticazione, ad esempio della posta elettronica, attraverso il protocollo TLS: capiamo bene che l’impatto può essere devastante. La falla, infatti, ha colpito oltre due terzi dei siti web mondiali e ha messo in pericolo le nostre password e i nostri dati sensibili, gettando nel panico utenti internet di tutto il mondo.

Il tutto sarebbe nato da una “svista” dello sviluppatore tedesco Robin Seggelmann. La falla è stata “scoperta” solo nel 2014 e ha costretto milioni di utenti a cambiare le password di numerosi account. Indiscrezioni provenienti da vari forum di sicurezza parlano del coinvolgimento di Barack Obama, che avrebbe autorizzato la NSA a sfruttarlo per accedere ai dati di milioni d’utenti del web in tutto il mondo — per ordire quello che, grazie alle dichiarazioni di Edward Snowden, è stato definito Datagate. La realtà potrebbe essere diversa da questa sorta di complotto, perché Heartbleed è stato un errore umano commesso due anni fa.

Se non siete ancora sicuri che i vostri siti siano stati colpiti, abbiamo allegato un’immagine per voi, creato da LWG Consulting; vi consigliamo di consultarla:

http://www.lwgconsulting.com/news/sites_affected_by_heartbleed_bug.aspx

I siti più conosciuti che sono stati colpiti sono Facebook e Google per Pinterest e Flickr; ma ad essere colpiti sono anche gli smartphone: si stima che, di circa 900 milioni di dispositivi Android venduti al mondo, circa il 34 % è ha rischio. Si tratta della versione, rilasciata nel 2012 Android 4.1.1. Molti sono stati gli appelli hai produttori per rilasciare un aggiornamento, ma tuttora non è stata offerta alcuna soluzione. Il problema è che, ancora oggi, in commercio ci sono dispositivi con questa versione. Tra le prime società ad intervenire è stata Google, che dice di aver tappato la falla sui propri siti, ma non sono poche le persone diventate vittima del furto di nomi utente e password, le cui caselle di posta potrebbero essere state clonate e rese pronte a truffare amici e parenti.

Un consiglio? Cambiatevi spesso le password, e utilizzate solo password complesse.

Giuseppe Inchingolo

CONDIVIDI
Articolo precedenteSostenibilità Costruita # 1
Articolo successivoLa “generazione Ulisse”: folle volo e non attesa
Giuseppe Inchingolo
Sono perito informatico e lavoro da oltre 15 anni nel settore ICT come System Administrator. Sono un sistemista certificato e mi sento un privilegiato perché sono entusiasta del mio lavoro. Le mie passioni sono la fotografia, i viaggi e l’informatica. Spero con questa esperienza di allargare i miei confini e i rapporti professionali esistenti, con la speranza di creare un gruppo di discussione non chiuso agli attori del mondo dell’ITC, ma aperto al lettore comune.

LASCIA UNA RISPOSTA