ElectroYou

Faccio un po' di terrorismo anche qua perché stamattina hanno pubblicato una vulnerabilità grave di uno dei più diffusi sistemi per la gestione dei dati crittografati su internet (OpenSSL).
Faccio riferimento al bug CVE-2014-0160 che in sostanza permette a chiunque con un semplice attacco di recuperare informazioni normalmente crittografate (password, codici e quant'altro) che vengono inviate da un utente.

Per i prossimi due/tre giorni è sconsigliabile utilizzare servizi come home banking, acquisti online e tutti i siti che contengono informazioni personali importanti, per dare il tempo a chi li amministra di aggiornare i propri sistemi.
Questo problema è stato reso noto solo adesso ma è presente da 2 anni ed è possibile che qualcuno nel frattempo se ne sia approfittato, quindi è buona norma cambiare le password che utilizzate di solito.

Per darvi un'idea del caos che si è generato ecco la top 10k dei siti vulnerabili
https://github.com/musalbas/heartbleed- ... p10000.txt
sono presenti anche nomi importanti come yahoo, stackoverflow, flickr...

Per informazioni più dettagliate: http://heartbleed.com/

Per i sysadmin: le versioni coinvolte sono OpenSSL-1.0.1[abcdef] e sono fixate in OpenSSL-1.0.1g


Oggi non è la giornata giusta per fidarsi del simbolino del lucchetto e del https://

edit:
aggiungo un tool per verificare se il sito che volete visitare è vulnerabile: http://filippo.io/Heartbleed/

Grazie per la info DonJ

Grazie DonJ,
Saluti

Per lo meno sono pochi i siti italiani vulnerabili (che abbiano il protocollo SSL)...

...A parte poste italiane tanto per cambiare...

Grazie DonJ
Quando il problema è così eclatante a volte mi viene il dubbio che siano delle back door che vengono scoperte dai programmatori e propinate come bug, ok che è OPEN ma 2 anni mi sembrano eccessivi per metterci una toppa sopra!

Prima di tutto grazie mille per l'informazione DonJ, ho già provveduto a controllare i siti di mio interesse ma soprattutto ad informare i miei familiari della cosa .
Ho due domande.

DonJ ha scritto:con un semplice attacco di recuperare informazioni normalmente crittografate (password, codici e quant'altro

Per quanto riguarda i servizi di banking on-line il rischio è collegato solo al possibile furto di informazioni sensibili? Dovrebbe essere impossibile ad un cracker eseguire operazioni dispositive se la banca è dotata di sistemi OTP o sbaglio?

DonJ ha scritto:Oggi non è la giornata giusta per fidarsi del simbolino del lucchetto e del https://

Ritieni che sia più opportuno ora come ora, forzasi e utilizzare "http://" rispetto al consueto "https://"?

gianpox ha scritto:Ritieni che sia più opportuno ora come ora, forzasi e utilizzare "http://" rispetto al consueto "https://"?

Così no, anche perché nel protocollo http TUTTE le informazioni viaggiano in chiaro!

Grazie mille per la tempestiva risposta maxxy .
Immaginavo fosse comunque preferibile utilizzare "https://" ma vista la situazione ho preferito chiedere conferma .

gianpox ha scritto:Per quanto riguarda i servizi di banking on-line il rischio è collegato solo al possibile furto di informazioni sensibili? Dovrebbe essere impossibile ad un cracker eseguire operazioni dispositive se la banca è dotata di sistemi OTP o sbaglio?

I sistemi di home banking sono abbastanza protetti anche in caso di furto delle credenziali di accesso, spesso c'è bisogno della carta dei codici operativi o la chiavetta con il generatore numerico.
Però insomma, non è una bella cosa comunque.

gianpox ha scritto:Ritieni che sia più opportuno ora come ora, forzasi e utilizzare "http://" rispetto al consueto "https://"?

Come ti hanno già detto, assolutamente no, il protocollo http è per definizione senza alcun tipo di crittografia.

Tutto chiaro, grazie mille DonJ .