Video: Heartbleed - Cos'è e come difendersi! (Settembre 2024)
Le notizie di questa settimana sono state dominate dalle discussioni sul bug Heartbleed, che consente agli hacker di raccogliere dati direttamente dalla memoria dei server sicuri interessati. I dati acquisiti potrebbero includere chiavi di crittografia, password e tutti i dati inviati tramite un canale HTTPS apparentemente sicuro. Il bug è presente da oltre due anni e poiché l'attacco non lascia traccia, non abbiamo idea di quanto sia stato sfruttato.
Chi è vulnerabile?
Le procedure guidate per le password su LastPass hanno aggiunto una nuova ruga al rapporto sul controllo di sicurezza del prodotto. Ora, oltre a contrassegnare password deboli e duplicate, elenca tutti i siti salvati che sono o erano vulnerabili a Heartbleed. Ho chiesto a molti altri utenti di LastPass di inviarmi i risultati di quel rapporto, solo per avere un'idea di ciò che è là fuori.
Ho oltre 200 password memorizzate in LastPass me stesso. Solo sei di loro sono stati segnalati come vulnerabili e due erano già stati riparati. Aggiungendo i risultati dei miei colleghi, ho visto 50 siti vulnerabili, di cui 30 non ancora corretti.
Il rapporto LastPass consiglia di modificare la password per i siti che sono stati corretti per correggere il bug. Per gli altri, suggerisce di attendere fino a quando il sito non annuncia un aggiornamento, poiché la tua nuova password sarebbe ancora vulnerabile. Per quanto mi riguarda, suggerirei di prendere Heartbleed come sveglia per cambiare tutte le tue password, assicurandomi che ognuna di esse sia forte e che nessun sito utilizzi la stessa password. Dovrai modificare nuovamente le password per i siti ancora vulnerabili dopo che sono state riparate, ma modificarle tutte ora riduce al minimo il potenziale di esposizione.
I migliori negozi
Per un altro punto di vista, ho preso i primi 20 siti di shopping più famosi di Alexa e li ho sottoposti a un paio di test online. Il ricercatore Filippo Valsorda ha creato un test poco dopo la notizia di Heartbleed. LastPass ospita anche un test su richiesta
Ho trovato i risultati dei test di Valsorda un po 'confusi. Il test ha restituito un messaggio di errore come "tubo rotto" o "timeout I / O" per cinque dei 20 siti che ho provato. Nove siti hanno ottenuto un buono stato di salute, in quanto il test ha riportato che erano "riparati o non interessati". I restanti sei hanno restituito un messaggio di errore a causa del fatto che la connessione è stata trasferita a una rete di distribuzione dei contenuti e il certificato della CDN non corrisponde al dominio che ho inserito. Selezionando la casella per ignorare i certificati si ottengono tutti questi risultati "fissi o non interessati", ma la pagina di test avverte che potrebbe essere un risultato falso.
La pagina di test fornita da LastPass fornisce molte più informazioni. Ha segnalato dieci siti probabilmente non sicuri. Ciò significa che il test non è stato in grado di determinare se il sito utilizza OpenSSL, la libreria di crittografia interessata dal bug Heartbleed. Quattro dei siti erano probabilmente vulnerabili, perché usano OpenSSL e due di questi sono ora sicuri. Altri quattro siti non erano sicuramente vulnerabili e uno che era sicuramente vulnerabile è ora sicuro. Rimane solo un sito che non è stato possibile analizzare a causa di un errore di connessione.
Il tester HeartPass LastPass riporta anche la recente modifica del certificato SSL di ciascun sito. Un certificato che è stato modificato poco dopo la notizia di Heartbleed si è rivelato un buon indicatore del fatto che il sito è stato interessato ma ora è sicuro.
Come per tutti i siti il cui stato non è chiaro, la soluzione migliore è attendere un annuncio dal sito stesso. Diffidare, però. Non fare clic su alcun link per reimpostare la password che ricevi in un'email, perché alcuni di questi sono frodi. Passa direttamente al sito, modifica la password e assicurati che il gestore delle password rilevi la modifica.
Tenere il passo con la copertura in corso di PCMag del bug Heartbleed qui.
