Posts Tagged ‘heartbleed’

Heartbleed /3

domenica 13 aprile 2014

Ho ancora due cose da dire. Poi la pianto, prometto.

La prima è che non è sufficiente cambiare la password quando sul server è stato aggiornato il software incriminato. Prima di cambiare le password bisogna che il server – il sito a cui vi collegate – abbia anche cambiato il certificato che ne attesta l’autenticità.

Se nel vostro browser cliccate sul lucchetto affianco all’indirizzo che visitate, potrete avere i dettagli di questo certificato, un piccolo file che vi assicura che il sito visualizzato è proprio quello che volete visitare. Se il certificato è stato emesso prima dell’8 aprile 2014 e (AND) il server era vulnerabile al baco heartbleed, allora cambiare password potrebbe essere inutile.

La seconda cosa da notare è come i vari servizi colpiti hanno reagito alla notizia. Ad oggi, fra i numerosi siti che uso, solo yahoo e tumblr hanno certificati nuovi. Solo tumblr ha mandato via mail un avviso di sicurezza, pregando i suoi utenti di cambiare la password. Chi gestisce la posta elettronica ci metterebbe un attimo a spedire a tutti le istruzioni su cosa fare dopo la scoperta di heartbleed. Ad oggi, google (gmail), yahoo, tiscali, fastweb, aruba (pec.it) e sicuramente ne dimentico altri, non hanno ancora avvisato personalmente i loro utenti su cosa devono fare (o NON devono fare). E fin qui sono solo gli affari nostri che sono visibili al primo pirata informatico che passa. Poi ci sono i servizi di vendita on line, che tralascio, altrimenti faccio notte ad elencarli. Tutti quelli che uso – e sono tanti – non mi hanno avvisato via mail su cosa fare. (Il loro spam, invece, arriva copioso.) Poi ci sono le banche on line. Ho a che fare con tre istituti di credito e nessuno mi ha ancora detto nulla. Ho spedito una mail di chiarimenti alla mia banca e ad oggi il silenzio. Domani telefono. Ho dei pensieri cattivi nei loro confronti…

PS: Ribadisco a scanso di equivoci. Non sto affermando che i servizi citati (e non) siano stati vulnerabili al baco heatbleed e/o siano stati violati. Sto dicendo che non hanno informato i loro utenti su cosa fare o NON fare, perché magari non colpiti dalla vulnerabilità.

Aggiornamento 17/04/2014:

Un’intervista al mio guru di fiducia Schneier.
Heartbleed, the Branding of a Bug, and the Internet of Things
by Scott Berinato

(Grazie e Giovanna Cosenza)

E il lato comunicativo del problema (da Kalzumeus blog):

What Heartbleed Can Teach The OSS Community About Marketing
di Patrick McKenzie

Aggiornamento 25/04/2014:

Mentre i modi per sfruttare il baco Heartbleed si fanno sempre più interessanti e aggressivi, rimaneva in sospeso un piccolo problema: chi ha finanziato fino a oggi le generose persone che sviluppano OpenSSL? Quasi nessuno. Banche, commercio online, socialcosi e chi più ne ha più ne metta (enti commercilai, non privati) usavano il codice senza sentirsi in dovere di dare le briciole di quanto guadagnavano usando OpenSSL. Risultato: il gruppo di sviluppo era ridotto ad un gruppo di poche persone. L’errore extra large era solo questione di tempo. Il seguito ce lo racconta Paolo Attivissimo:

Heartbleed, scappati i buoi qualcuno finanzia il recinto

Heartbleed /2

venerdì 11 aprile 2014

Segnalo una vignetta di xkcd efficacissima nello spiegare il problema software che ci sta dietro al baco:

How the Hertbleed bug work

(Mi lancio nella traduzione!
Titolo: Come funziona il baco Heartbleed

Meg: Server, sei ancora lì? Se sì, rispondi “POTATO” (6 lettere)
Macchina: Meg vuole queste 6 lettere: POTATO
Meg: Server, sei ancora lì? Se sì, rispondi “BIRD” (4 lettere)
Macchina: Meg vuole queste 4 lettere: BIRD
Meg: Server, sei ancora lì? Se sì, rispondi “HAT” (500 lettere)
Macchina: Meg vuole queste 500 lettere: HAT e tutto quello che ho in memoria dopo HAT per 500 lettere.
[Meg prende appunti.] )