Video: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
Il consiglio più comune per gli utenti finali in tutto il brusio che circonda la vulnerabilità Heartbleed in OpenSSL era di ripristinare le password utilizzate per i siti Web sensibili. Mettendo da parte il fatto che potrebbe non essere il miglior consiglio, gli utenti devono essere vigili per potenziali attacchi di phishing lungo la strada, gli esperti di sicurezza hanno avvertito.
I ricercatori di sicurezza hanno rivelato i dettagli della vulnerabilità Heartbleed all'inizio di questa settimana e gli amministratori dei server e i fornitori di servizi in tutto il mondo si sono dati da fare per controllare i loro sistemi e per chiudere la vulnerabilità il prima possibile. Come è stato discusso qui su SecurityWatch e PCMag.com, il bug del software può essere sfruttato per catturare bit casuali di informazioni nella memoria del computer, potenzialmente perdendo chiavi private, dati sensibili e certificati.
Considerando il livello di interesse per l'argomento mentre i ricercatori capiscono l'entità del problema e le implicazioni, è molto probabile che gli attacchi di phishing mascherati da notifiche di reimpostazione della password. È facile immaginare i criminali informatici e altri truffatori che si sfregano allegramente le mani mentre pianificano attacchi sulle spalle.
Non fare clic!
Alcune organizzazioni hanno già patchato i loro sistemi e si rivolgono in modo proattivo ai clienti per consigliarli di cambiare le loro password. Sfortunatamente, SecurityWatch ha visto almeno due casi in cui l'e-mail includeva un collegamento cliccabile che portava gli utenti al sito per reimpostare la password. E qual è la prima regola per evitare attacchi di phishing? Diciamolo insieme: non fare clic sui collegamenti nelle e-mail!
Come abbiamo visto con false e-mail bancarie e PayPal, è facile forgiare intestazioni e-mail e creare e-mail dall'aspetto molto realistico. Anche gli utenti del sito che finiscono potrebbero sembrare la cosa reale.
Per essere onesti, le persone stanno migliorando nel riconoscere le e-mail di reimpostazione della password come potenzialmente dannose. Tuttavia, le preoccupazioni su Heartbleed possono ingannare anche gli utenti più cauti. "Se stavi pensando, 'Ehi, forse dovrei cambiare la mia password di example.com , per ogni evenienza', e poi arriva un'e-mail che afferma di provenire da example.com che ti porta a una schermata di accesso che assomiglia a example.com … potresti essere perdonato solo seguendo l'abitudine e cercando di accedere ", ha scritto sul blog di Naked Security Paul Ducklin, un evangelista della sicurezza di Sophos.
Si applicano ancora le regole di sicurezza
Sì, Heartbleed è serio e avrà implicazioni sulla sicurezza di Internet per mesi e anni a venire. Ciò non significa che dimentichiamo tutte le lezioni sul riconoscimento di e-mail di spam e phishing. Diffidare di qualsiasi e-mail indesiderata che ricevi, anche se provengono da aziende che conosci. Se l'e-mail ti chiede di fare clic su un collegamento all'interno dei messaggi per reimpostare la password, soffoca quell'impulso di farlo. Visita manualmente il sito Web e avvia la reimpostazione della password direttamente dal sito.
Se le aziende smettessero di considerare le implicazioni di sicurezza e non inserissero collegamenti alla pagina di accesso nell'e-mail stessa, sarebbe molto più sicuro per i clienti perché non avranno l'abitudine di fare clic sui collegamenti, ha affermato Ducklin. "Se nessun sito legittimo inserisce mai i collegamenti di accesso nella corrispondenza e-mail, decidere se i collegamenti di accesso sono buoni o cattivi diventa banale: sono cattivi e questa è la fine", ha detto.
Molti consigli là fuori stanno dicendo agli utenti di cambiare le loro password ovunque. Invece, dovresti cambiare le password solo sui siti che hanno confermato di aver corretto il difetto Heartbleed. Qualunque altra cosa potrebbe effettivamente aumentare le possibilità che le tue informazioni private vengano ringhiate, avvertì Ducklin.