heartbleed markloman status

#heartbleed quali password devo cambiare?

UPDATE: la vicenda sta assumendo risvolti sempre più inquietanti

“That would give the NSA access to as many as two-thirds of the encrypted servers on the web. The report also indicates that Heartbleed is far from an anomaly. One source estimates that the NSA has thousands of similar vulnerabilities on file, and the agency has persistently defended their importance in intelligence gathering.”
(The NSA has exploited Heartbleed bug for years, Bloomberg reports – the Verge)

Il 7 aprile è stato reso pubblico il BUG heartbleed e, come riportato nell’articolo, si tratta di un serio problema di sicurezza

The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library
(heartbleed.com)

Bene, vi domanderete, ne sono coinvolto? Vi riporto alcuni dati necessari al fine di inquadrare l’entità del problema.

Il bug è nella libreria OpenSSL, ovvero il codice che implementa il protocollo SSL utilizzato per crittografare il traffico tra il server e il vs browser; ogni qualvolta voi accedete ad un servizio erogato tramite https (es. https://mail.google.com) il protocollo sottostante è SSL e nella stragrande maggioranza dei casi viene utilizzata la libreria OpenSSL.

Una stima approssimata in difetto, indica in circa 500.000 siti affetti dal bug heartbleed.

Our most recent SSL Survey found that the heartbeat extension was enabled on 17.5% of SSL sites, accounting for around half a million certificates issued by trusted certificate authorities
(NetCraft: Half a million widely trusted websites vulnerable to Heartbleed bug )

Bene, ma cosa accade? Qual’è il rischio inerente il bug Heartbleed?
Attraverso questo bug è possibile accedere a blocchi di memoria del server, senza lasciar alcuna traccia nei log.
In pratica con tentativi successivi e senza che ve ne sia evidenza, è possibile recuperare le password in chiaro… si avete letto bene, si riesce ad aver accesso alle vs password da remoto.

Update: un’interessante ed esplicativa vignetta

 

Chiarita l’entità del problema, cosa fare?

Se gestite dei servizi online, è bene che verifichiate con i vs fornitori di servizio le azioni intraprese al fine di minimizzare il rischio Heartbleed. Vi segnalo un buon tool per verificare se il vs servizio online è affetto o meno dal bug: Heartbleed test – di Filippo Valsorda

Se siete solo degli utenti, è NECESSARIO cambiare le vs password di accesso ai servizi online.
Si, ma quali? Questi sono i principali servizi, estratti dall’elenco prodotto da Mashable – The Heartbleed Hit List:

  • Facebook
  • GMail
  • Yahoo
  • Soundcloud
  • Dropbox
  • Tumblr
  • Amazon Web Services

Ultima considerazione: già che ci siete, visto che state cambiando le password… non dimenticate una regola “aurea”

una password univoca per servizio

Avevate un’unica password per accedere ad ogni servizio?… bene è giunto il momento per cambiarle e diversificarle.

Ultimo consiglio, per gestire al meglio la selva di password necessaria per accedere ai vari servizi online, è comodo ed utile appoggiarsi ad un software ad hoc, come ad esempio KeePassx.

P.S.
- non mi risulta sia nota, ad oggi 10 aprile, una lista dei servizi online italiani affetti da tale bug; se ne avete evidenza, segnalatela nei commenti, grazie!

P.S. 2:
 - Attenzione, c’è una lista dei servizi affetti - musalba heartbleed-masstes, ma è datata 8 aprile; vi rammento che il bug è stato scoperto il 7 aprile, quindi ci sono servizi che risultato esenti alla data dell’8 aprile… ma non che non lo siano stati affetti precedentemente

SDA Bocconi - fare Business con i Social Network

Note dall’evento fare Business con Facebook SDA Bocconi 19 novembre 2013

Oggi 19 novembre si è svolto l’evento Facebook SDA Bocconi Facebook Fare Business con i Social Network Best practices su Facebook, presso Aula Magna dell’Università Bocconi.

L’evento ha generato un notevole scambio di tweets, in gran parte da me raccolti nello storify fare business con i social network sda bocconi.

Impressionanti i numeri che smuove Facebook, ogni giorno il potenziale pubblico è paragonabile alla popolazione europea…

Continue reading

hashtag facebook esempio d'uso

Hashtag Facebook: grammatica minimalista degli hashtag

Dal 13 giugno 2013 anche su Facebook sono arrivati gli #hashtag, finalmente potremmo classificare al meglio i nostri status update.

Come funzionano?

Per scrivere un hashtag basta preporre il carattere # alla parola che si vuol utilizzare come classificatore del contenuto.

hashtag facebook esempio d'uso

hashtag facebook esempio d’uso

Non tutto è caratterizzabile, ad esempio l’aggiunta del # ad una sequenza di numeri non produce un hashtag valido

hashtag Facebook: test numeri

hashtag Facebook: test numeri

 

Non tutti i caratteri sono utilizzabili nella parola, ad esempio è possibile utilizzare il carattere _ (underscore): così #test_tost è un hashtag valido, mentre #test/tost o #test-tost non lo è.

hashtag Facebook: test caratteri

hashtag Facebook: test caratteri

Occorre notare come gli hashtag possano portare confusione nell’interazione, ad esempio basta aggiungere un commento con solo #like

hashtag Facebook: confusione

hashtag Facebook: confusione

L’aspetto più interessante è la possibilità di accedere ai contenuti classificati per hashtag, sia attraverso il modal

hashtag Facebook: modal

hashtag Facebook: modal

che attraverso l’URL https://www.facebook.com/hashtag/daje

hashtag Facebook: acceso tramite url

hashtag Facebook: acceso tramite url

Infine, ora che gli hashtag sono arrivati anche su Facebook, non resta che auspicarne un uso ragionevole, senza eccessi

hashtag Facebook: eccessi

hashtag Facebook: eccessi

Scuola Digitale: note dal #ForumPA2013

Scuola Digitale: nuove didattiche, nuovi setting e nuove architetture
Eppur si muove! La scuola, grande pachiderma della nostra PA sta faticosamente muovendosi e, a detta del capo del Dipartimento del Ministero, è ormai arrivata ad un punto di non ritorno. Il convegno a FORUM PA cercherà di capire quanto questa apertura all’innovazione costituisca un’opportunità sia per l’alfabetizzazione dei ragazzi, che spesso non ne hanno bisogno, ma soprattutto delle loro famiglie e quanto possa anche essere uno stimolo per un mercato che ha bisogno di ripartire.


Business Insider: How Location Data Is Being Collected And Transforming The Mobile Industry

WiFi free nei negozi: un costo o un’opportunità? Geo Loyalty e le opportunità di business

Aprire o non aprire il proprio router WiFi? Consentire o meno l’accesso di sconosciuti alla propria rete?

L’accesso alla propria rete WiFi può diventare un’opportunità per veicolare pubblicità, attrarre nuovi clienti e fidelizzarli tramite promozioni e/o buoni sconto.

“is why many retailers are rolling out free public Wi-Fi to enable in-store mobile ads.”
Business InsiderHow Location Data Is Being Collected And Transforming The Mobile Industry )

Opportunità che sta aprendo un mercato molto vasto e che vede già dei player interessanti, LoyalBlocks e Shopkick, solo per citarne alcuni. Continue reading

@MatteoRenzi lancia #openPD… siam sicuri sia stato lanciato lanciato da lui?

Prima di stracciarsi le vesti nell’osannare, forse è meglio fare un minimo di ricerca… si, perchè, senza nulla togliere a Matteo Renzi, l’hashtag #openPD non nasce oggi 11 maggio 2013 al Congresso Nazionale del PD… ma addirittura il primo tweet risale al 2011

ed era stato ripreso già in gennaio 2013

Come dire… eppure basterebbe cercare #openPD

Certo, lui l’ha ripreso e in meno di mezz’ora l’ha portato in Trending Topic a livello nazionale (nazionale non worldwide come è stato erroneamente detto)… ma ciò non stupisce affatto, la fase politica molto delicata che sta attraversando il PD, il pubblico di riferimento di Renzi molto più avvezzo alla tecnologia… il giusto proposito… tutti elementi che spingono l’hashtag in Trending Topic nazionale.

openPD-trendingtopic-italia-11052013-1343

Un risultato comunque rilevante, ottenuto in poco tempo, complimenti.