Video: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
Questa settimana abbiamo appreso che una popolare libreria di criptovalute è stata totalmente vulnerabile agli attacchi per due anni. Il bug, chiamato "Heartbleed" dai suoi scopritori, consente ai cybercrooks di sovvertire il servizio heartbeat che mantiene aperta una connessione sicura tra due computer. Una volta entrati, possono rubare le chiavi di sicurezza, le credenziali di accesso e tutti i dati crittografati. Peggio ancora, un tale attacco non lascia traccia.
Non c'è niente che tu possa fare personalmente per risolvere il problema. I proprietari dei server che eseguono il software vulnerabile devono agire. In particolare, devono aggiornare all'ultima versione non vulnerabile, revocare tutte le chiavi di sicurezza del sito e quindi emettere nuovamente le chiavi. Tuttavia, puoi fare qualcosa per le tue password esposte; cambiali tutti!
Chi è vulnerabile?
È vero che non tutti i siti sicuri sono vulnerabili, anche se gli esperti stimano che almeno i due terzi di tutti i server potrebbero avere il bug. Puoi controllare qualsiasi dominio particolare usando questo test. Il test offerto da LastPass fornisce ulteriori informazioni. Ad esempio, un sito che utilizza OpenSSL e ha rigenerato i propri certificati di sicurezza negli ultimi due giorni potrebbe essere stato vulnerabile in precedenza.
Ti consigliamo di esaminare e testare tutti i siti Web sicuri che utilizzi. Prendi nota di quelli attualmente vulnerabili; dovrai rivisitare quelli. In realtà, pensa attentamente a quelli vulnerabili. Ne hai davvero bisogno e li usi? In caso contrario, considera la possibilità di cancellare il tuo profilo e tutte le altre informazioni e chiudere l'account.
Cambiali tutti!
Non importa se la tua password attuale è "password" o "C5H8 e bY! 6BDB6g66rRWJ". Non importa quanto sia forte, i cattivi possono estrarlo dalla memoria del buggy server. Qualunque sia la password, ce l'hanno, insieme al tuo nome utente e ai dati sicuri che hai trasmesso. Inoltre, vengono esposti anche tutti gli altri siti in cui è stata utilizzata la stessa password.
I siti sicuri rientrano in tre categorie, quelli che sono ancora vulnerabili, quelli che erano vulnerabili in passato e quelli che non erano mai vulnerabili. È assolutamente essenziale modificare la password su quelli che erano vulnerabili in passato. Non potrebbe far male cambiare quelli che sembrano non essere mai vulnerabili, soprattutto perché non puoi esserne sicuro. Per quanto riguarda quelli che rimangono vulnerabili, dovrai cambiarli di nuovo, ma facendo una pulizia pulita ora e assicurandoti di non avere password duplicate, renderai più facile quel secondo round di aggiornamenti delle password.
Come farlo
Andare online senza un gestore di password è un affare rischioso. Se non ne usi già uno, ora è il momento di iniziare. Scelta della redazione LastPass è gratuita. Dashlane, anch'essa una CE, costa solo $ 19, 99 all'anno.
Sia LastPass che Dashlane offrono un rapporto di analisi delle password che identifica le password deboli e duplicate. Dal rapporto, è possibile fare clic su un collegamento per visitare un sito e modificare la password; il gestore password raccoglierà la modifica. Non preoccuparti di inventare una password. Lascia che il gestore delle password generi qualcosa che nessuno potrebbe mai immaginare.
La nostra Jill Duffy riferisce di aver ripulito la sua password in cinque settimane, aiutata da Dashlane. Le notizie di Heartbleed richiedono un po 'più di urgenza. Ti consiglierei di sostituire tutte le tue password con nuove e uniche il più presto possibile.
Non è finita
La modifica della password su siti che sono ancora vulnerabili al bug Heartbleed assicura almeno che non stai esponendo altri siti che utilizzano la stessa password. Tuttavia, la nuova password è totalmente a rischio. Se possibile, stai lontano da questi siti fino a quando non vengono riparati. E quando lo fanno, cambia di nuovo la password. Almeno avrai l'aiuto del tuo fidato gestore di password per fare il lavoro.