#heartbleed quali password devo cambiare?

UPDATE: la vicenda sta assumendo risvolti sempre più inquietanti

“That would give the NSA access to as many as two-thirds of the encrypted servers on the web. The report also indicates that Heartbleed is far from an anomaly. One source estimates that the NSA has thousands of similar vulnerabilities on file, and the agency has persistently defended their importance in intelligence gathering.”
(The NSA has exploited Heartbleed bug for years, Bloomberg reports – the Verge)

Il 7 aprile è stato reso pubblico il BUG heartbleed e, come riportato nell’articolo, si tratta di un serio problema di sicurezza

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library
(heartbleed.com)

Bene, vi domanderete, ne sono coinvolto? Vi riporto alcuni dati necessari al fine di inquadrare l’entità del problema.

Il bug è nella libreria OpenSSL, ovvero il codice che implementa il protocollo SSL utilizzato per crittografare il traffico tra il server e il vs browser; ogni qualvolta voi accedete ad un servizio erogato tramite https (es. https://mail.google.com) il protocollo sottostante è SSL e nella stragrande maggioranza dei casi viene utilizzata la libreria OpenSSL.

Una stima approssimata in difetto, indica in circa 500.000 siti affetti dal bug heartbleed.

Our most recent SSL Survey found that the heartbeat extension was enabled on 17.5% of SSL sites, accounting for around half a million certificates issued by trusted certificate authorities
(NetCraft: Half a million widely trusted websites vulnerable to Heartbleed bug )

Bene, ma cosa accade? Qual’è il rischio inerente il bug Heartbleed?
Attraverso questo bug è possibile accedere a blocchi di memoria del server, senza lasciar alcuna traccia nei log.
In pratica con tentativi successivi e senza che ve ne sia evidenza, è possibile recuperare le password in chiaro… si avete letto bene, si riesce ad aver accesso alle vs password da remoto.

Update: un’interessante ed esplicativa vignetta

 

Chiarita l’entità del problema, cosa fare?

Se gestite dei servizi online, è bene che verifichiate con i vs fornitori di servizio le azioni intraprese al fine di minimizzare il rischio Heartbleed. Vi segnalo un buon tool per verificare se il vs servizio online è affetto o meno dal bug: Heartbleed test – di Filippo Valsorda

Se siete solo degli utenti, è NECESSARIO cambiare le vs password di accesso ai servizi online.
Si, ma quali? Questi sono i principali servizi, estratti dall’elenco prodotto da Mashable – The Heartbleed Hit List:

  • Facebook
  • GMail
  • Yahoo
  • Soundcloud
  • Dropbox
  • Tumblr
  • Amazon Web Services

Ultima considerazione: già che ci siete, visto che state cambiando le password… non dimenticate una regola “aurea”

una password univoca per servizio

Avevate un’unica password per accedere ad ogni servizio?… bene è giunto il momento per cambiarle e diversificarle.

Ultimo consiglio, per gestire al meglio la selva di password necessaria per accedere ai vari servizi online, è comodo ed utile appoggiarsi ad un software ad hoc, come ad esempio KeePassx.

P.S.
- non mi risulta sia nota, ad oggi 10 aprile, una lista dei servizi online italiani affetti da tale bug; se ne avete evidenza, segnalatela nei commenti, grazie!

P.S. 2:
 - Attenzione, c’è una lista dei servizi affetti - musalba heartbleed-masstes, ma è datata 8 aprile; vi rammento che il bug è stato scoperto il 7 aprile, quindi ci sono servizi che risultato esenti alla data dell’8 aprile… ma non che non lo siano stati affetti precedentemente

Posted in Tech | Tagged , , | 4 Responses

#IoEForumIta – lo storify dell’evento Internet of Everything 31-01-2014

Il 31 gennaio 2014 si è svolto Internet of Everything Italian forum 2014 promosso da Cisco. In questo storify ho raccolto i tweets più rilevanti, buona visione. [View the story "Internet of Everything #IoEforumita" on Storify]

Posted in Tech | Tagged , , , | Leave a comment

Note dall’evento fare Business con Facebook SDA Bocconi 19 novembre 2013

Oggi 19 novembre si è svolto l’evento Facebook SDA Bocconi Facebook Fare Business con i Social Network Best practices su Facebook, presso Aula Magna dell’Università Bocconi. L’evento ha generato un notevole scambio di tweets, in gran parte da me raccolti nello storify fare business con i social network sda bocconi. Impressionanti i numeri che smuove Facebook, ogni giorno […]

Posted in social media | Tagged , , | Leave a comment

Hashtag Facebook: grammatica minimalista degli hashtag

Dal 13 giugno 2013 anche su Facebook sono arrivati gli #hashtag, finalmente potremmo classificare al meglio i nostri status update. Come funzionano? Per scrivere un hashtag basta preporre il carattere # alla parola che si vuol utilizzare come classificatore del contenuto. Non tutto è caratterizzabile, ad esempio l’aggiunta del # ad una sequenza di numeri […]

Posted in social media | Tagged , | Leave a comment

Scuola Digitale: note dal #ForumPA2013

Scuola Digitale: nuove didattiche, nuovi setting e nuove architetture “Eppur si muove! La scuola, grande pachiderma della nostra PA sta faticosamente muovendosi e, a detta del capo del Dipartimento del Ministero, è ormai arrivata ad un punto di non ritorno. Il convegno a FORUM PA cercherà di capire quanto questa apertura all’innovazione costituisca un’opportunità sia […]

Posted in Thinkering | Leave a comment

WiFi free nei negozi: un costo o un’opportunità? Geo Loyalty e le opportunità di business

Aprire o non aprire il proprio router WiFi? Consentire o meno l’accesso di sconosciuti alla propria rete? L’accesso alla propria rete WiFi può diventare un’opportunità per veicolare pubblicità, attrarre nuovi clienti e fidelizzarli tramite promozioni e/o buoni sconto. “is why many retailers are rolling out free public Wi-Fi to enable in-store mobile ads.” ( Business Insider: How […]

Posted in social media, Tech | Tagged , , | Leave a comment

@MatteoRenzi lancia #openPD… siam sicuri sia stato lanciato lanciato da lui?

Prima di stracciarsi le vesti nell’osannare, forse è meglio fare un minimo di ricerca… si, perchè, senza nulla togliere a Matteo Renzi, l’hashtag #openPD non nasce oggi 11 maggio 2013 al Congresso Nazionale del PD… ma addirittura il primo tweet risale al 2011 http://t.co/1QPlGNBu #openpd @pierangferrari : primarie di partito per il candidato PD a […]

Posted in social media | Tagged , , | Leave a comment
  • View Luca Perugini's LinkedIn profileView Luca Perugini's

    Instagram
  • Libri da leggere

Real Time Web Analytics