Il nome del nuovo bug della rete recentememnte scoperto richiama il battito cardiaco. Ma quello che dovrebbe essere un battito pulsante di vita rischia di diventare quello assente e sanguinante della morte incipiente, quanto meno della morte di conti correnti e depositi finanziari.
La nuova falla è denominata Heartbleed (Cuore Sansuinante), non si sa da dove venga e se qualcuno l'abbia creata per sbaglio o mal-intenzionalmente.
Quello che si sa è che potrebbe avere intereessato due terzi dei server della rete delle reti sui quali si appoggiano grandi applicaioni e portali come quelle di Amazon, Yahoo, Twitter, facebook, ecc.
Che un problema di questo tipo emerga a distanza di tempo non è di per sè una sorpresa così come non lo è l'elevato tasso di fiducia che tutti siamo ormai disposti a concedere alla tecnologia di Internet e alla tecnologia in generale. Ad essa affidiamo in modo cieco e acritico le nostre credenziali e parole chiave da innocenti utilizzatori finali. Ci inventiamo password che riteniamo le più sicure del mondo e ci dimentichiamo che anche loro viaggiano attarverso protocolli su canali e flussi di dati che possono essere intercettati e, nel caso di una falla, scaricati e utilizzati. Ci dimentichiamo sioè che ogni lucchetto richiama sempre qualcuno che vorrebbe aprirlo e troverà sempre qualcuno che ci riuscirà.
Come hanno scritto in molti Heartbleed può essere pericoloso, meglio quindi cambiare le password di accesso ai propri account in rete, ma è anche importante non lascirsi prendere dal panico.
Meglio invece mettere in campo nuove buone pratiche che mirano ad una gestione più intelligente ed oculate delle passsword in rete, dell'uso delle risorse della rete e della tecnologia. Meglio ancora acquisisre nuove informazioni e consocenze sui rischi associati ad un uso 'sbarazzino' e incosciente della rete e acquisire una cultura utile a prevenire i problemi anticipando attacchi o falle come quelle di Heartbleed che sempre si presenteranno anche in un prossimo futuro.
Considerando l'allarme che il problema ha generato e la quntità di informazioni circolate in rete è inutile aggiungere altra scrittura.
Meglio fornire un elenco dei testi che riteniamo siano utili a chi vuole capire quanto grace sia il problema e cosa fare:
- Chi ha scoperto l'Heartbleed bug
- Descrizione tecnica di Heartbleed
- Il progetto OpenSSL
- Elenco dei siti che hanno fornito risposta sulla sicurezza dei protocolli nei quali si annida Heartbleed. La lista è stata fornita da CNET e viene costantemente aggiornata. Se i siti nella lista dei 100 siti toprispondono positivamente alla domanda: “Avete già applicato la patch per sanare la falla Heartbleed?“ potete cambiare la password. Diversamente conviene farlo ma bisognerebbe farlo ogni giorno....
- MASHABLE: un elenco di tutti i siti con potenziali falle Heartbleed, con informazioni su quanto sono protetti e sicuri e i suggerimenti per interventi rapidi su quelli che non lo sono ancora
- THEWIRE: Cosa fare
- Thech.fanpage.it: istruzioni su cosa fare e elenco dei siti sicuri e di quelli per cui conviene cambiare la password
- WIRED: Che cosa è; chi riguarda; cosa fare. Una FAQ sulla vulnerabilità di OpenSSL che mette a rischio le comunicazioni in Rete.
- TEST per verificare la sicurezza dei siti
- Sicurezza carte di credito e password
- Last Pass Heartbleed checker
- Verifica sulle configurazioni OpenSSl dei siti
- Elenco di tutti i siti vulnerabili
- Suggerimenti su come impostare la password
