Important note: How-To Geek is not affected by this bug.
Che cosa è Heartbleed e perché è così pericoloso?
Nella tipica violazione della sicurezza, vengono esposti i record / password utente di una singola azienda. È terribile quando succede, ma è un affare isolato. La società X ha una violazione della sicurezza, invia un avvertimento ai propri utenti e le persone come noi ricordano a tutti che è ora di iniziare a praticare una buona igiene della sicurezza e aggiornare le proprie password. Quelle, sfortunatamente, le violazioni tipiche sono già abbastanza gravi. L'insetto Heartbleed è qualcosa di molto,tanto, peggio.
Il bug Heartbleed mina il vero schema di crittografia che ci protegge mentre inviamo email, banca e in altro modo interagiamo con siti Web che riteniamo sicuri. Ecco una semplice descrizione in inglese della vulnerabilità di Codenomicon, il gruppo di sicurezza che ha scoperto e avvisato il pubblico del bug:
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
Sembra abbastanza brutto, sì? Sembra ancora peggio quando ti rendi conto che circa i due terzi di tutti i siti Web che utilizzano SSL utilizzano questa versione vulnerabile di OpenSSL. Non stiamo parlando di siti di piccole dimensioni come i forum di hot rod o siti di scambio di carte collezionabili, stiamo parlando di banche, società di carte di credito, importanti rivenditori di e-mail e provider di posta elettronica. Peggio ancora, questa vulnerabilità è stata in circolazione per circa due anni. Sono due anni che qualcuno con le conoscenze e le competenze appropriate potrebbe aver attinto alle credenziali di accesso e alle comunicazioni private di un servizio che usi (e, secondo i test condotti da Codenomicon, farlo senza lasciare traccia).
Per un'illustrazione ancora migliore di come funziona l'insetto Heartbleed. leggi questo fumetto di xkcd.
Cosa fare Post Bug Heartbleed
Qualsiasi violazione della sicurezza di maggioranza (e questo certamente si qualifica su larga scala) richiede di valutare le pratiche di gestione delle password. Data l'ampia portata del Bug Heartbleed, questa è un'opportunità perfetta per rivedere un sistema di gestione delle password già funzionante o, se stai trascinando i tuoi piedi, per crearne uno.
Prima di immergerti immediatamente nella modifica delle password, tieni presente che la vulnerabilità viene corretta solo se la società ha eseguito l'aggiornamento alla nuova versione di OpenSSL. La storia è finita lunedì, e se ti sei precipitato a cambiare immediatamente le tue password su ogni sito, la maggior parte di loro avrebbe comunque eseguito la versione vulnerabile di OpenSSL.
Ora, a metà settimana, la maggior parte dei siti ha avviato il processo di aggiornamento e entro il fine settimana è ragionevole presumere che la maggior parte dei siti Web di alto profilo siano passati.
È possibile utilizzare il correttore di bug di Heartbleed qui per vedere se la vulnerabilità è ancora aperta o, anche se il sito non risponde alle richieste del correttore sopracitato, è possibile utilizzare il controllo data SSL di LastPass per vedere se il server in questione ha aggiornato il proprio Certificato SSL di recente (se lo hanno aggiornato dopo il 4/7/2014 è un buon indicatore di aver corretto la vulnerabilità). Nota: se si esegue howtogeek.com tramite il correttore di bug, verrà restituito un errore perché in primo luogo non usiamo la crittografia SSL e abbiamo anche verificato che i nostri server non eseguono alcun software interessato.
Detto questo, sembra che questo weekend si preannuncia come un buon fine settimana per fare sul serio l'aggiornamento delle password. Innanzitutto, è necessario un sistema di gestione delle password. Consulta la nostra guida su come iniziare con LastPass per configurare una delle opzioni di gestione delle password più sicure e flessibili disponibili. Non devi usare LastPass, ma hai bisogno di un sistema che ti permetta di tracciare e gestire una password unica e sicura per ogni sito web che visiti.
In secondo luogo, è necessario iniziare a cambiare le password. Lo schema di gestione delle crisi nella nostra guida, Come recuperare dopo che la tua password di posta elettronica è compromessa, è un ottimo modo per assicurarti di non perdere nessuna password; evidenzia anche le basi della buona igiene della password, citata qui:
- Passwords should always be longer than the minimum the service allows for. If the service in question allows for 6-20 character passwords go for the longest password you can remember.
- Do not use dictionary words as part of your password. Your password should never be so simple that a cursory scan with a dictionary file would reveal it. Never include your name, part of the login or email, or other easily identifiable items like your company name or street name. Also avoid using common keyboard combinations like “qwerty” or “asdf” as part of your password.
- Use passphrases instead of passwords. If you’re not using a password manager to remember really random passwords (yes, we realize we’re really harping on the idea of using a password manager) then you can remember stronger passwords by turning them into passphrases. For your Amazon account, for example, you could create the easily remember passphrase “I love to read books” and then crunch that into a password like “!luv2ReadBkz”. It’s easy to remember and it’s fairly strong.
In terzo luogo, quando possibile, si desidera abilitare l'autenticazione a due fattori. Puoi leggere ulteriori informazioni sull'autenticazione a due fattori qui, ma in breve ti consente di aggiungere un ulteriore livello di identificazione al tuo login.
Con Gmail, ad esempio, l'autenticazione a due fattori richiede non solo l'accesso e la password, ma l'accesso al cellulare registrato nel tuo account Gmail in modo da poter accettare un codice di testo da inserire quando accedi da un nuovo computer.
Con l'autenticazione a due fattori abilitata rende molto difficile per qualcuno che ha ottenuto l'accesso al tuo login e alla tua password (come con il Bug Heartbleed) per accedere effettivamente al tuo account.
Le vulnerabilità della sicurezza, in particolare quelle con implicazioni di vasta portata, non sono mai divertenti, ma offrono un'opportunità per noi di stringere le nostre pratiche relative alle password e garantire che password uniche e resistenti mantengano il danno, quando si verifica, contenuto.
