Dicono gli esperti il bug di Heartbleed OpenSSL - un difetto nel software di rete destinato a proteggere i tuoi dati - potrebbe aver effettivamente consentito agli hacker di rubare proprio i dati che dovrebbe proteggere. Pensi di essere al sicuro da questo oscuro bug in OpenSSL, qualunque cosa sia? Pensa di nuovo. Un esperto ha osservato che “quasi tutti” lo usano.
"Dato che oltre la metà dei server web del mondo utilizza Apache, e Apache utilizza OpenSSL, la maggior parte delle persone utilizza applicazioni create regolarmente su OpenSSL", ha spiegato Steve Pate, Chief Architect presso la società di servizi cloud HyTrust.
Video consigliati
L'insetto Heartbleed è una falla di sicurezza scoperta in OpenSSL, software di rete ampiamente utilizzato che crittografa i dati sensibili immessi in molti siti Web popolari. La falla consente agli hacker di rubare dati direttamente dai chip di memoria dei server di tutto il mondo ed esiste da circa due anni. Jean Taggart, ricercatore senior sulla sicurezza presso Malwarebytes, che produce popolari software anti-malware, lo ha descritto come un modo semplice per i criminali di spazzare via i tuoi dati in modo invisibile.
DI PIÙ: Cos'è il Bug Heartbleed?
“Questa vulnerabilità offre ai criminali informatici un metodo per raccogliere informazioni molto sensibili, come le chiavi di crittografia private. Se un avversario ha estratto la chiave privata attraverso la vulnerabilità Heartbleed, può impersonare la vittima e organizzare un attacco man-in-the-middle non rilevabile", ha affermato Taggart.
OpenSSL è da sempre vulnerabile agli attacchi, afferma Pate, con il primo difetto individuato da HyTrust nel maggio del 2009. Tuttavia, Pate nota anche che, sebbene OpenSSL 1.0.1 e 1.0.2-beta dispongano già delle correzioni dei bug di Heartbleed, se vengono utilizzate le versioni interessate, l'exploit potrebbe essere già stato utilizzato dagli hacker per effettuare swipe sensibili dati.
Taggart ha anche spiegato che eliminare la falla di sicurezza non sarà un compito facile.
“Risolvere questo bug non sarà banale, perché anche se i professionisti della sicurezza possono implementare un aggiornamento, molti non reimposteranno i propri certificati poiché si tratta di un compito lungo e difficile. Pertanto, se fossero stati compromessi prima dell'annuncio del bug, le loro chiavi private potrebbero già esserlo nelle mani di avversari e le loro comunicazioni crittografate potrebbero essere intercettate da terzi feste”.
DI PIÙ: Quali siti Web sono interessati dal bug Heartbleed?
Nathaniel Couper-Noles, consulente principale per la sicurezza presso azienda di sicurezza Neohapsis, ha affermato che sebbene siano disponibili soluzioni alternative e soluzioni per combattere Heartbleed, "il cavallo potrebbe essere già fuori dalla stalla".
“Molte organizzazioni non sono dotate degli strumenti per identificare se e dove sono vulnerabili, l’attacco potrebbe non lasciare nulla distinguibile dal traffico legittimo e le conseguenze possono essere potenzialmente a lungo termine”, Couper-Noles disse. Oltre a ciò, Couper-Noles ha osservato che potrebbero esserci “centinaia o migliaia di sistemi interessati” nelle aziende di tutto il mondo.
A questo punto, cambiando le tue password è la migliore linea d'azione che puoi intraprendere per proteggerti dal bug Heartbleed. Oltre a ciò, evitando le pagine Web presenti in questo elenco di siti che sono presumibilmente affetti dal difetto OpenSSL è altamente raccomandato.
Credito immagine: http://www.wallpaperzzz.com
Raccomandazioni degli editori
- Il creatore di ChatGPT lancia il programma bug bounty con premi in denaro
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
