Che cos`è il bug Heartbleed e come proteggersi e rimanere al sicuro?

Quasi il 70 percento del traffico su Internet impiega OpenSSL per proteggere i trasferimenti di dati. Ciò si traduce in quasi tutti i principali server (leggi: siti Web) che utilizzano OpenSSL per proteggere i tuoi dati come le credenziali di accesso. Tuttavia, qualcuno di Google ha riscontrato un bug in OpenSSL, un errore di programmazione minore ma abbastanza grande da rivelare i tuoi dati agli hacker: persone disposte a utilizzare i tuoi dati per i loro scopi. Questo bug OpenSSL è denominato Heartbleed poiché è strettamente correlato ad alcuni layer HeartBeat di OpenSLL.

Che cos`è Heartbleed Bug

La maggior parte dei server accetta dati crittografati, decodifica usando le chiavi di crittografia e inoltra per l`elaborazione. Poiché la maggior parte dei server utilizza il metodo FIFO (First in First Out) per servire gli utenti finali, spesso i dati (dopo la decrittografia) rimangono nella memoria del server per un po `di tempo prima che il server lo riprenda per l`ulteriore elaborazione.

Il bug Heartbleed è un caso di preoccupazione per quasi tutti i siti web commerciali basati su Internet e altri tipi. Questo errore di programmazione consente agli hacker di verificare in qualsiasi server che utilizza OpenSSL e leggere / salvare / utilizzare i dati non crittografati (dati decrittografati). Gli hacker ora non hanno solo l`accesso ai tuoi dati, possono riprodurre il certificato del sito Web rendendo Internet, ancora più pericoloso. Con la copia del certificato del sito Web, gli hacker possono creare siti mimici: siti simili ai siti originali. Con ciò, possono accedere ulteriormente ai tuoi dati come dettagli della carta di credito, informazioni personali, ecc.

I suoni paurosi, vero? È - in effetti - poiché può accedere alle tue informazioni e tali informazioni possono essere utilizzate verso qualsiasi fine.

Nota : Heartbleed ha anche un nome in codice CVE-2014-0160. CVE è l`acronimo di Common Vulnerabilities and Exposures. Questi codici relativi alle vulnerabilità ecc. Sono forniti da MITER, un organismo indipendente che tiene traccia di bug e problemi simili.

Devo aggiornare il mio Anti-Virus o qualcosa

Il bug Heartbleed in OpenSSL non ha nulla da fare con il tuo antivirus o firewall. Questo non è un problema lato client, quindi puoi fare ben poco. Dall`altra parte, i server devono applicare una patch al sistema OpenSSL che stanno utilizzando. Fatto ciò, si può dire che il sito web sia più sicuro per l`interazione.

Quello che puoi fare come utente è ridurre il numero di visite al commercio e siti simili. Non è che l`errore riguardi solo i siti di commercio. È uguale per tutti i tipi di siti Web che utilizzano OpenSSL. Dico evitare i siti di commercio per un po `dato che sarebbero l`obiettivo principale per gli hacker che vorrebbero i dettagli della tua carta ecc. Significa che l`obiettivo principale degli hacker sarebbero i siti di e-commerce che utilizzano OpenSSL.

Una volta ricevuto un messaggio / segnala che il bug è corretto, puoi andare avanti come facevi prima che il bug fosse scoperto. OpenSSL ha creato una patch e l`ha rilasciata per i proprietari di siti Web per proteggere i dati dei propri utenti. Fino ad allora, cerca di evitare i siti in cui devi dare i tuoi dati in qualsiasi forma - anche le credenziali di accesso. Sono sicuro che quasi tutti i webmaster devono entrare nella patch, ma c`è ancora un problema. Una volta che sei sicuro che non ci siano vulnerabilità o che tali vulnerabilità siano state patchate, potrebbe essere una buona idea cambiare le tue password.

Nel frattempo, usa queste estensioni del browser per avvisarti dei siti Web interessati a Heartbleed.

Certificati del sito copiati tramite Heartbleed deve essere affrontato

Ci sono alte probabilità che i certificati di sicurezza dei siti Web possano essere stati copiati per la creazione di siti Web dannosi. Poiché i certificati di sicurezza sono copie generali, i tuoi browser potrebbero non capire la differenza. Sei tu che devi rimanere cauto. Evita di fare clic sui link e, invece, digita l`URL del sito web nella barra degli indirizzi in modo da non essere reindirizzato su un sito falso.

Questo problema può essere risolto in due modi:

1. I browser disponibili sul mercato dovrebbero essere sufficientemente intelligenti per identificare i certificati copiati e avvisarti.
2. I webmaster cambiano i certificati dopo aver applicato la patch.

In altre parole, ci vorrà del tempo per implementare sopra anche se i webmaster applicano la patch. Vorrei ribadire che non fare clic su collegamenti in e-mail o siti Web non reputati. Basta digitare l`URL nella barra degli indirizzi o se il sito originale è stato aggiunto ai preferiti, utilizzare il segnalibro.

La sezione Riferimenti alla fine di questo articolo contiene un elenco incomprensivo dei siti Web interessati. Incompleto perché potrebbero esserci più siti Web interessati rispetto a quelli elencati qui.

Riferimenti:

• Heart Bleed: sito web
• OpenSSL: consigli sulla sicurezza per sanguinamento cardiaco
• Hub Git: elenco dei siti Web interessati.