Heartbleed /3

Ho ancora due cose da dire. Poi la pianto, prometto.

La prima è che non è sufficiente cambiare la password quando sul server è stato aggiornato il software incriminato. Prima di cambiare le password bisogna che il server – il sito a cui vi collegate – abbia anche cambiato il certificato che ne attesta l’autenticità.

Se nel vostro browser cliccate sul lucchetto affianco all’indirizzo che visitate, potrete avere i dettagli di questo certificato, un piccolo file che vi assicura che il sito visualizzato è proprio quello che volete visitare. Se il certificato è stato emesso prima dell’8 aprile 2014 e (AND) il server era vulnerabile al baco heartbleed, allora cambiare password potrebbe essere inutile.

La seconda cosa da notare è come i vari servizi colpiti hanno reagito alla notizia. Ad oggi, fra i numerosi siti che uso, solo yahoo e tumblr hanno certificati nuovi. Solo tumblr ha mandato via mail un avviso di sicurezza, pregando i suoi utenti di cambiare la password. Chi gestisce la posta elettronica ci metterebbe un attimo a spedire a tutti le istruzioni su cosa fare dopo la scoperta di heartbleed. Ad oggi, google (gmail), yahoo, tiscali, fastweb, aruba (pec.it) e sicuramente ne dimentico altri, non hanno ancora avvisato personalmente i loro utenti su cosa devono fare (o NON devono fare). E fin qui sono solo gli affari nostri che sono visibili al primo pirata informatico che passa. Poi ci sono i servizi di vendita on line, che tralascio, altrimenti faccio notte ad elencarli. Tutti quelli che uso – e sono tanti – non mi hanno avvisato via mail su cosa fare. (Il loro spam, invece, arriva copioso.) Poi ci sono le banche on line. Ho a che fare con tre istituti di credito e nessuno mi ha ancora detto nulla. Ho spedito una mail di chiarimenti alla mia banca e ad oggi il silenzio. Domani telefono. Ho dei pensieri cattivi nei loro confronti…

PS: Ribadisco a scanso di equivoci. Non sto affermando che i servizi citati (e non) siano stati vulnerabili al baco heatbleed e/o siano stati violati. Sto dicendo che non hanno informato i loro utenti su cosa fare o NON fare, perché magari non colpiti dalla vulnerabilità.

Aggiornamento 17/04/2014:

Un’intervista al mio guru di fiducia Schneier.
Heartbleed, the Branding of a Bug, and the Internet of Things
by Scott Berinato

(Grazie e Giovanna Cosenza)

E il lato comunicativo del problema (da Kalzumeus blog):

What Heartbleed Can Teach The OSS Community About Marketing
di Patrick McKenzie

Aggiornamento 25/04/2014:

Mentre i modi per sfruttare il baco Heartbleed si fanno sempre più interessanti e aggressivi, rimaneva in sospeso un piccolo problema: chi ha finanziato fino a oggi le generose persone che sviluppano OpenSSL? Quasi nessuno. Banche, commercio online, socialcosi e chi più ne ha più ne metta (enti commercilai, non privati) usavano il codice senza sentirsi in dovere di dare le briciole di quanto guadagnavano usando OpenSSL. Risultato: il gruppo di sviluppo era ridotto ad un gruppo di poche persone. L’errore extra large era solo questione di tempo. Il seguito ce lo racconta Paolo Attivissimo:

Heartbleed, scappati i buoi qualcuno finanzia il recinto

Tag: , , , ,

3 Risposte to “Heartbleed /3”

  1. Aliceland Says:

    Sul sito di Attivissimo ci sono due link a dei siti dove verificare se i servizi che utilizziamo sono infetti, riparati o non infetti. Io ho controllato tutto e dove diceva riparato o non affected ho cambiato la password.
    Ora spero di essere a posto. Spero.
    Peró è vero, nessuno ha avvisato di niente.

  2. Ilaria Says:

    A me l’unico che ha avvisato è stato Tumblr, per il resto ho cambiato tutte le password di google e altri di mia spontanea iniziativa man mano che i server annunciavano di essersi aggiornati (basandomi su un post su mashable). Grazie per tutte queste info! Comunque trovo che il problema sia molto sottovalutato, un sacco di amici a cui l’ho spiegato, suggerendo loro di cambiare le password, hanno fatto spallucce e anche online non ho visto particolare attenzione sul tema. A me sembra invece molto grave (soprattutto perché era da due anni che andava avanti).

    • ilcomizietto Says:

      Adesso non trovo i link, ma ho letto che alcuni rassicurano dicendo che la falla non è così facile da usare, mentre altri dicono il contrario. Il problema è che chi sapeva prima ha avuto tutto il tempo per studiare la falla e i cattivi che prima non sapevano avranno tutto il tempo per studiarla nel futuro e trovare modi ingegnosi per usarla a nostro danno. D’altro canto, una volta sistemato il problema lato server, a noi cambiare la password costa pochissimo, non c’è nessun motivo per non raccomandare di farlo. Però dobbiamo essere avvisati che lo possiamo fare. Non possiamo sostituirci ai gestori dei servizi, anche perché particolari configurazioni potrebbero aver mitigato di molto il danno, v. LastPass. La mancanza di informazione è molto grave.

      La percezione del pericolo da parte della gente comune è falsata da numerosi fattori, che qui non mi metto a comiziare. Anche per questo un’indicazione esplicita dei gestori dei servizi è necessaria.

      Un articolo che non ho letto, ma sembra interessante, tratta il lato comunicativo della vicenda: What Heartbleed Can Teach The OSS Community About Marketing

Il tuo comizio:

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...


Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

Unisciti agli altri 118 follower

%d blogger cliccano Mi Piace per questo: