Heartbleed

The Heartbleed vulnerability è un errore di programmazione nella libreria crittografica OpenSSL. Il bug permette di acquisire informazioni, incluso username, password e chiavi di crittografia segrete. The Heartbleed vulnerability può essere usato senza l’interferenza dell’utente, e possono essere ottenuti 64kb di dati privati alla volta. Heartbleed è ufficialmente chiamato CVE-2014-0160. Le versioni colpite includono la versione OpenSSL da 1.0.1 a 1.0.1f e 1.0.2-beta. Il bug di Heartbleed è unico perché è facile da sfruttare e non viene lasciata alcuna traccia.

The Heartbleed vulnerability coinvolge le estensioni di Heartbeat. Gli utenti colpiti devono fare l’upgrade a OpenSSL 1.0.1g.

OpenSSL è usato da vari servizi Internet, incluso provider di servizi email e forum. L’OpenSSL Project è stato fondato nel 1998 per creare uno strumento di crittografia, usato da due terzi dei server web. OpenSSL è usato per proteggere i siti del governo, siti web commerciali, siti di distribuzione software e simili. È stato stimato che ci sono circa 1.4milioni di server vulnerabili. I provider di servizi dovrebbero risolvere l’errore con la patch di Heartbleed e incoraggiare gli utenti a modificare le loro password. La password dovrebbe essere modificata solo dopo che il bug è stato risolto. Se hai un account Facebook, Instagram, Pinterest, Tumblr, Google, Yahoo, Etsy, GoDaddy, Flickr, Minecraft, Netflix, SoundCloud o YouTube, ti conviene cambiare la tua password per il login. Non è chiaro se Facebook sia stato colpito perché non sono state rilevate attività sospette; è, tuttavia, consigliato di aggiornare le password per evitare la fuoriuscita di dati.

Per quanto riguarda il sistema operativo di telefonia cellulare, Apple iOS e Microsoft Phone non incorporano OpenSSL, mentre Backberry riporta che i telefoni Blackberry non sono colpiti. Per quanto riguarda Android, è stato riportato che Android 4.1.1 è colpito.

Consigliamo vivamente di modificare la password dell’account periodicamente e di usare delle password complesse. Secondo Microsoft, Microsoft Account, Office 365, Yammer, Microsoft Azure e Skype non sono colpiti da the Heartbleed vulnerability.

È stato rivendicato che U.S.National Security Agency sia a conoscenza del problema di the Heartbleed, ma neghi l’affermazione. A quanto si dice, la NSA non ha espresso commenti riguardo alla vulnerabilità e nega le accuse di essere al corrente della vulnerabilità.

Heartbleed è considerato come uno degli errori più grossi della storia di Internet. Per esempio, il governo Canadese ha suggerito di sospendere il sistema elettronico di archiviazione delle tasse.