Impiega circa il 70 percento del traffico su Internet OpenSSL per garantire i trasferimenti di dati. Ciò si traduce in quasi tutti i principali server (leggi: siti Web) che utilizzano OpenSSL per proteggere i tuoi dati come le credenziali di accesso. Tuttavia, qualcuno di Google ha riscontrato un bug in OpenSSL, un errore di programmazione minore ma abbastanza grande da rivelare i tuoi dati agli hacker: persone disposte a utilizzare i tuoi dati per i loro scopi. Questo bug OpenSSL è chiamato heartbleed poiché è strettamente correlato ad alcuni strati di HeartBeat di OpenSLL.
Cos'è l'insetto Heartbleed
Il bug Heartbleed è un caso di preoccupazione per quasi tutti i siti web commerciali basati su Internet e alcuni altri tipi. Questo errore di programmazione consente agli hacker di verificare in qualsiasi server che utilizza OpenSSL e leggere / salvare / utilizzare i dati non crittografati (dati decrittografati). Gli hacker ora non hanno solo l'accesso ai tuoi dati, possono riprodurre il certificato del sito Web rendendo Internet, ancora più pericoloso. Con la copia del certificato del sito Web, gli hacker possono creare siti mimici: siti simili ai siti originali. Con ciò, possono accedere ulteriormente ai tuoi dati come dettagli della carta di credito, informazioni personali, ecc.
I suoni paurosi, vero? È - in effetti - in quanto può accedere alle tue informazioni e tali informazioni possono essere utilizzate verso qualsiasi fine.
Nota: Heartbleed ha anche un nome in codice CVE-2014-0160. CVE è l'acronimo di Common Vulnerabilities and Exposures. Questi codici relativi alle vulnerabilità ecc. Sono forniti da MITER, un organismo indipendente che tiene traccia di bug e problemi simili.
Dovrei aggiornare il mio Anti-Virus o qualcosa del genere
Il bug Heartbleed in OpenSSL non ha nulla a che fare con il tuo antivirus o firewall. Questo non è un problema lato client, quindi puoi fare ben poco. Dall'altro lato, i server devono applicare una patch al sistema OpenSSL che stanno utilizzando. Fatto ciò, si può dire che il sito web sia più sicuro per l'interazione.
Quello che puoi fare come utente è ridurre il numero di visite al commercio e siti simili. Non è che l'errore riguardi solo i siti di commercio. È uguale per tutti i tipi di siti Web che utilizzano OpenSSL. Dico di evitare i siti di commercio per un po 'poiché sarebbero il principale obiettivo per gli hacker che vorrebbero i dettagli della tua carta ecc. Significa che l'obiettivo principale degli hacker sarebbero i siti di e-commerce che utilizzano OpenSSL.
Una volta che ricevi un messaggio / segnala che il bug è stato corretto, puoi procedere come facevi prima che il bug fosse scoperto. OpenSSL ha creato una patch e l'ha rilasciata per i proprietari di siti Web per proteggere i dati dei propri utenti. Fino ad allora, cerca di evitare i siti in cui devi dare i tuoi dati in qualsiasi forma - anche le credenziali di accesso. Sono sicuro che quasi tutti i webmaster devono entrare nella patch, ma c'è ancora un problema. Una volta che sei sicuro che non ci siano vulnerabilità o che tali vulnerabilità siano state patchate, potrebbe essere una buona idea cambiare le tue password.
Nel frattempo, utilizza queste estensioni del browser per avvisarti dei siti Web interessati a Heartbleed.
È necessario indirizzare i certificati del sito copiati tramite Heartbleed
Ci sono alte probabilità che i certificati di sicurezza del sito Web possano essere stati copiati per la creazione di siti Web dannosi. Poiché i certificati di sicurezza sono copie generali, i tuoi browser potrebbero non capire la differenza. Sei tu che devi rimanere cauto. Evita di fare clic sui collegamenti e, invece, digita l'URL del sito web nella barra degli indirizzi in modo da non essere reindirizzato su un sito falso.
Questo problema può essere risolto in due modi:
- I browser disponibili sul mercato dovrebbero essere abbastanza intelligenti da identificare i certificati copiati e avvisarti.
- I webmaster cambiano i certificati dopo aver applicato la patch.
In altre parole, ci vorrà del tempo per implementare sopra anche se i webmaster applicano la patch. Vorrei ribadire che non fare clic su collegamenti in e-mail o siti Web non reputati. Basta digitare l'URL nella barra degli indirizzi o se il sito originale è stato aggiunto ai preferiti, utilizzare il segnalibro.
La sezione Riferimenti alla fine di questo articolo contiene un elenco incomprensivo dei siti Web interessati. Incompleto perché potrebbero esserci più siti Web interessati rispetto a quelli elencati qui.
Riferimenti:
- Heart Bleed: sito web
- OpenSSL: Security Advisory per Heart Bleed
- Git Hub: elenco dei siti Web interessati.
