{"id":3435,"date":"2014-04-10T14:36:46","date_gmt":"2014-04-10T14:36:46","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=3435"},"modified":"2022-07-20T19:45:32","modified_gmt":"2022-07-20T17:45:32","slug":"vulnerabilita-heartbleed","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/vulnerabilita-heartbleed\/3435\/","title":{"rendered":"“Heartbleed”, la vulnerabilit\u00e0 che mette a rischio migliaia di siti Internet"},"content":{"rendered":"

AGGIORNAMENTO<\/strong>: in un versione precedente di questo articolo abbiamo affermato, citando Github, che gli utenti su di un sito chiamto HideMyAss erano stati colpiti da Heartbleed. Un rappresentante del sito ci ha fatto presente che il bug non ha colpito i suoi utenti e abbiamo rimosso il sito dalla nostra lista.<\/em><\/p>\n

AGGIORNAMENTO #2<\/strong>: il post \u00e8 stato aggiornato con la lista dei servizi realmente interessati dal problema, siti che hanno ufficialmente raccomandato agli utenti di cambiare le password.<\/em><\/p>\n

Se si parla di una vulnerabilit\u00e0 in un importante programma radiofonico delle otto del mattino, come lo statunitense Morning Edition di David Green, vuol dire che si tratta di qualcosa di serio. \u00c8 proprio quello che \u00e8 successo ieri: una seria vulnerabilit\u00e0, dal nome \u201cHeartbleed\u201d, \u00e8 stata individuata nel pacchetto OpenSSL, uno dei sistemi di crittografia pi\u00f9 utilizzati su Internet. Se non avete idea di cosa stiamo parlando, non preoccupatevi, vi spiegheremo tutto in questo articolo.<\/p>\n

Quando stabiliamo una connessione criptata<\/a> con un sito Internet (per esempio con Google, Facebook o il sito della nostra banca) i dati vengono cifrati mediante il protocollo SSL\/TSL. Molti server web, anche piuttosto conosciuti, si avvalgono della libreria open source OpenSSL per svolgere questo compito. All\u2019inizio di questa settimana, OpenSSL ha risolto il bug<\/a>, battezzato \u201cHeartbleed\u201d, che interessava l\u2019implementazione del protocollo TSL. Questo bug potrebbe rivelare fino a 64 kB di memoria di un server web.<\/p>\n

In altre parole, la falla avrebbe consentito a chiunque su Internet di accedere alla memoria di un server protetto da una versione vulnerabile della libreria. Nella peggiore delle ipotesi, questa piccola parte di memoria potrebbe contenere dati riservati (nomi utente, password o persino la chiave privata, utilizzata per cifrare la connessione). Inoltre, chi sfrutta questa vulnerabilit\u00e0 non lascia tracce, per cui non c\u2019\u00e8 modo di sapere se un server \u00e8 stato hackerato e quali dati sono stati sottratti.<\/p>\n

Abbiamo una buona notizia e una cattiva. La buona notizia \u00e8 che OpenSSL ha gi\u00e0 risolto il bug. La cattiva \u00e8 che non c\u2019\u00e8 garanzia che i siti e i servizi colpiti da Heartbleed abbiano gi\u00e0 implementato la patch. Ma c\u2019\u00e8 dell\u2019altro: a quanto pare, \u00e8 piuttosto facile sfruttare questa vulnerabilit\u00e0 e esiste da un paio d\u2019anni ormai. Ci\u00f2 vuol dire che, in questo lungo lasso di tempo, potrebbero essere stati rubati i certificati di sicurezza di molti siti, cos\u00ec come informazioni private di utenti e password.<\/p>\n

Cosa possiamo fare come utenti?<\/h2>\n

Aggiornamento<\/strong>: Mashable ha raccolto una lista<\/a> di comunicati rilasciati dai servizi web interessati dal problema. Per farvi risparmiare tempo, potete semplicemente cambiare la vostra password su tutti i seguenti siti: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist. Usa una password unica<\/strong> per ogni sito web!<\/em><\/p>\n