La vulnerabilità SSL Heartbleed sta facendo notizia in tutto il mondo e la segnalazione errata nella stampa e online sta causando confusione. Come puoi stare sicuro e seguire i tuoi dettagli personali non sono trapelate?
Cosa è Heartbleed? Bene, non è un virus
Probabilmente hai sentito Heartbleed descritto come un virus. Questo non è il caso: in effetti, è una debolezza, una vulnerabilità nei server che eseguono OpenSSL. Questa è l'implementazione open source di SSL e TLS, i protocolli utilizzati per le connessioni sicure - quelli che iniziano https: // invece del solito http: // .
Questa vulnerabilità, più comunemente chiamata bug, crea essenzialmente un buco attraverso il quale gli hacker possono eludere la crittografia. Confermato il 7 aprile 2014, si verifica in tutte le versioni di OpenSSL tranne 1.0.1g. La minaccia è limitata ai siti che eseguono OpenSSL - altre librerie SSL e TLS sono disponibili, ma OpenSSL è ampiamente utilizzato sui server di tutto il web. Esiste una soluzione per il problema, ma potrebbe non essere stato applicato ai siti Web visitati regolarmente per attività sicure. Questi potrebbero essere lo shopping online, il gioco d'azzardo e altri siti web a tema per adulti o addirittura i social network.
Di conseguenza, tutti i tipi di informazioni personali e finanziarie potrebbero essere a rischio.
Per avere un'idea di quanto è importante un Heartbleed (e perché è così chiamato), Ryan ha recentemente messo questo bug di Internet nel contesto. Massive Bug in OpenSSL mette gran parte di Internet a rischio. Bug in OpenSSL mette molta Internet A rischio Se sei una di quelle persone che hanno sempre creduto che la crittografia open source sia il modo più sicuro per comunicare online, ti sorprende un po '. Leggi di più . Dobbiamo sottolineare che Heartbleed è una vulnerabilità basata su Internet e pertanto influisce sugli utenti di tutti i sistemi operativi, desktop e mobili.
Quindi, è un grosso problema - ma cosa puoi fare al riguardo?
Ignora The Hype & Do not Panic
Bene, c'è una cosa che non dovresti fare: il panico. Molto è stato scritto su Internet e sui media stampati nei giorni scorsi e molti di questi sono hype, doom porn che metterebbero in ombra gli effetti della famosa trasmissione radiofonica di War of the Worlds di Orson Welles.
Molto di ciò che avete già visto sarà stato messo insieme da comunicati stampa e altri rapporti di giornalisti che non hanno familiarità con la terminologia e una mancanza di chiara comprensione dei rischi.
Ad esempio, potresti sapere che dovresti cambiare le password immediatamente (non completamente vero, dovremmo aggiungere - vedi sotto). Ma sapevi del rischio di phishing?
Il rischio di phishing
I servizi Web responsabili, le banche e i social network interessati da Heartbleed ti invieranno un'email per informarti che hanno riparato la vulnerabilità e ti consigliamo di cambiare la password.
Naturalmente, dovresti farlo, ma tieni presente che questa situazione rappresenta un'opportunità ideale per i phisher per iniziare a inviare e-mail false, completi di collegamenti incorporati alla pagina "cambia password" - in realtà, un sito web progettato per raccogliere i tuoi dati.
Nessuno dei servizi che utilizzi dovrebbe raccomandarti di fare clic su un link di modifica della password in un'email inviata un'email non richiesta. Sfortunatamente, IFTTT ha funzionato, così come Pinterest (sopra). Questa è una cattiva pratica e dà l'impressione che tale link sia accettabile e debba essere cliccato.
A meno che tu non abbia richiesto l'e-mail, tale link non dovrebbe essere cliccato.
Le e-mail di reimpostazione della password Heartbleed non dovrebbero includere i collegamenti di accesso. Se lo fanno, cancellali, quindi visita il sito web digitando l'indirizzo nel browser (o selezionandolo dalla cronologia o dai preferiti a seconda di come usi questa cosa). Da lì, reimposta la password ...
... ma solo se effettivamente ne hai bisogno in questa fase.
Sfortunatamente, la necessità delle aziende PR di sembrare come se stessero facendo qualcosa riguardo a minacce come Heartbleed può rivelarsi altrettanto dannosa della minaccia stessa.
Quindi, dovresti cambiare le tue password?
Uno dei principali consigli di Heartbleed in circolazione è che dovresti cambiare immediatamente le tue password.
Tutti loro.
Questo, purtroppo, è un esempio della disinformazione cui ho fatto riferimento nell'introduzione. Supponiamo che tu usi la stessa password per diversi siti web. Prima di tutto, questa è una cattiva pratica e dovresti riconsiderare di farlo in futuro (per non parlare di creare password più sicure Password sicure: generare una password diversa per ogni sito Web Password sicure: generare una password diversa per ogni sito Web Ulteriori informazioni).
In secondo luogo, se modifichi indiscriminatamente tutte le tue password, è probabile che lo farai su un sito web che non è in esecuzione su un server con patch: uno su cui Heartbleed è ancora una vulnerabilità.
Inavvertitamente hai potenzialmente condiviso la tua vecchia password e la tua nuova password con quelli che sono in grado di sfruttare la vulnerabilità per le loro operazioni fraudolente e spam.
Pertanto, è necessario modificare la password solo sito per sito quando si è a conoscenza di una patch, ovvero la correzione è stata applicata e la vulnerabilità è stata chiusa.
Verifica quali siti web sono stati rattoppati
Inizia verificando quali siti web sono esenti dalla vulnerabilità Heartbleed.
Ci sono due modi per farlo. Per prima cosa, vai su Mashable dove puoi trovare un elenco aggiornato di siti web di grandi nomi interessati da Heartbleed, insieme a consigli su come cambiare la password o meno.
Per i siti più piccoli, questo eccellente strumento di ricerca ti dirà immediatamente se il sito è stato riparato o meno.
Un'alternativa è l'estensione Checker Chromebleed per Google Chrome.
Se i siti Web che utilizzi sono stati interessati e non hanno ancora applicato la patch alla vulnerabilità Heartbleed, evita l'accesso finché la situazione non viene risolta.
Conclusione: è un gioco in attesa
Affrontare la tempesta Heartbleed non dovrebbe essere un problema per la maggior parte. Attenersi al corso che abbiamo indicato sopra e non modificare alcuna password finché non viene richiesto di farlo dai siti Web e servizi corrispondenti.
È inoltre possibile utilizzare nuovi strumenti per verificare se il sito Web che si intende visitare (o anche quello che si esegue) è stato interessato e se è stata applicata una correzione.
Soprattutto, sii sicuro e sii paziente. Il potenziale per Heartbleed di causare enormi problemi è ancora lì - evitare qualsiasi sito web che richiede patching fino a quando non si sa che ora sono sicuri.
Crediti immagine: Bullet Heart via Shutterstock, HTTPS via Shutterstock, Do not Panic Button via Shutterstock, Password via Shutterstock