Una settimana ricca di notizie: Heartbleed e Windows XP

Sono due le notizie principali di questa settimana: un serio bug di tipo crittografico conosciuto come Heartbleed e la fine del supporto di sicurezza di Windows XP.

notizie 7-11 aprile

Tempi duri per OpenSSL

Nonostante ricordi il titolo di un album degli Slayer, Heartbleed è una seria vulnerabilità di sicurezza in OpenSSL. Praticamente onnipresente, OpenSSL è una libreria open-source che esegue funzioni crittografiche utilizzata da circa due terzi dei siti Internet. OpenSSL viene utilizzato come meccanismo per implementare connessioni criptate con TLS e SSL. TLS e il suo predecessore, SSL, sono protocolli crittografici che permettono comunicazioni sicure.

Gli attacchi diretti alla vulnerabilità Heartbleed, che pare sia piuttosto facile da sfruttare e molto difficile da individuare, potrebbero avere serie conseguenze per gli utenti di Internet. Sfruttando con successo il bug, le chiavi del certificato privato, le combinazioni di username e password e una gran varietà di altri dati sensibili potrebbero essere in pericolo.

Heartbleed ha raggiunto i titoli dei principali giornali e riviste dopo che OpenSSL ha annunciato la release di un fix per la vulnerabilità. Da quel momento in poi, Heartbleed, per via della sua gravità, si è affermata come la principale notizia della settimana, quasi l’unico argomento di cui si stava parlando (leggendo o scrivendo) nell’industria della sicurezza IT. Considerando le informazioni che abbiamo su Heartbleed, probabilmente vorrete fare un po’ di “pulizie di primavera digitali”, in particolare in relazione alle password. In primo luogo, vi consigliamo di informarvi bene e di leggere l’articolo che abbiamo pubblicato su Kaspersky Daily riguardante questa vulnerabilità. Nell’articolo offriamo una spiegazione esaustiva: che cos’è, cosa comporta (certamente un problema complesso), chi è o era vulnerabile e come procedere.

Sono due le notizie principali di questa settimana: un serio bug di tipo crittografico conosciuto come Heartbleed e la fine del supporto di sicurezza di Windows XP.

La lista dei siti web interessati da Heartbleed è molto lunga e cambia continuamente; potete usare questo tool per controllare alcuni siti web in particolare. Oltre a questo, sono molte le piattaforme di gioco online interessate dal problema, tra cui Nintendo, Call of Duty e League of Legends. Gli utenti devono cambiare urgentemente le password. Qui potete trovare una lista di piattaforme di gioco e le relative informazioni.

Per maggiori informazioni sulla crittografia o se siete un po’ confusi sulla sua definizione e funzione, troverete molte informazioni sul nostro articolo relativo alle funzioni hash. Il post non è direttamente collegato al problema che ha interessato OpenSSL, ma può essere utile per ampliare le conoscenze sull’argomento.

La fine di un era

Se la scorsa settimana ci aveste chiesto che cosa sarebbe successo questa settimana, vi avremmo detto che sarebbe arrivata una notizia esclusiva su Windows XP. Martedì 8 aprile, 2014: questa è la data in cui Microsoft ha rilasciato l’ultimo aggiornamento di sicurezza per il sistema operativo Windows XP, che ci saluta dopo 12 anni di servizio. Già da tempo si sapeva che l’edizione di Patch Tuesday di aprile del 2014 sarebbe stata l’ultima a contenere patch e aggiornamenti per Microsoft XP.

Il problema sta nel fatto che XP è tuttora un sistema operativo dominante. Lo usano i medici, si usa negli ospedali, per le interfacce di pagamento dei POS e degli sportelli bancari, è il sistema operativo di base di tutta una serie di dispositivi, senza considerare che potrebbe essere l’OS che utilizzate giornalmente. Secondo le stime, questo OS viene utilizzato dal 18 al 28% degli utenti. Tuttavia, non facciamoci illusioni: Windows XP non può andare lontano. La fine del supporto significa che ogni nuova vulnerabilità trovata nel sistema operativo non potrà essere “patchata”.

Per poter comprendere appieno cosa significa tutto questo, potete dare un’occhiata al nostro articolo sulla storia e futuro di Windows XP, al tempo uno dei più utilizzati OS.

Altre notizie

La notizia è passata un po’ inosservata, ma Google pare che abbia fatto un forte passo in avanti in termini di sicurezza. L’azienda ha rafforzato la sicurezza del suo sistema operativo Android aggiungendo una funzionalità che monitorerà costantemente le app sul dispositivo dell’utente per assicurarsi che non stiano agendo in forma dannosa o che non si stiano prendendo troppi permessi.

I sistemi esistenti, conosciuti come Bouncer e Verify App, realizzano una scansione del Play Store di Google e avvisano gli utenti nel caso di problemi potenziali relativi alla app installata. In certi casi, Google bloccherà l’installazione delle applicazioni. Ma c’è dell’altro: la nuova funzionalità monitorizza le applicazioni già installate per proteggersi dagli sviluppatori che inviano aggiornamenti alle app già installate aggiungendo funzionalità dannose o comunque non gradite. In definitiva, queste misure vengono disegnate per contrastare il sempre più comune problema delle app Android dannose che stanno invadendo Google Play.

Consigli