Lunedì 7 aprile è stata rilevata una grave vulnerabilità nota come "Heartbleed" nella popolare libreria crittografica OpenSSL, ampiamente utilizzata con applicazioni e server web. I siti ei servizi su Internet sono quindi impegnati a correggere questa vulnerabilità e ad aggiornare i certificati SSL per proteggere i propri clienti. Come detto, OpenSSL da v1.0.1 a 1.0.1f (incluso) sono vulnerabili e OpenSSL 1.0.1g rilasciato il 7 aprile 2014 risolve questo bug.
Un estratto da Heartbleed.com dice,
L'Heartbleed Bug è una grave vulnerabilità nella popolare libreria di software crittografico OpenSSL. Questa debolezza consente di rubare le informazioni protette, in condizioni normali, dalla crittografia SSL/TLS utilizzata per proteggere Internet. SSL/TLS fornisce sicurezza e privacy delle comunicazioni su Internet per applicazioni come Web, e-mail, messaggistica istantanea (IM) e alcune reti private virtuali (VPN).
Il bug Heartbleed consente a chiunque su Internet di leggere la memoria dei sistemi protetti dalle versioni vulnerabili del software OpenSSL. Ciò consente agli aggressori di intercettare le comunicazioni, rubare dati direttamente dai servizi e dagli utenti e di impersonare servizi e utenti.
Controlla se il tuo sito o telefono Android è affetto da bug Heartbleed –
Ci sono alcuni servizi che possono dirti se il sito a cui hai affidato le tue informazioni era o è ancora vulnerabile e quando il suo certificato è stato aggiornato.
Heartbleed test di Filippo Valsorda – filippo.io/Heartbleed
Inserisci un URL o un nome host per testare il tuo server per Heartbleed (CVE-2014-0160). Puoi specificare una porta come questa esempio.com:4433. 443 per impostazione predefinita.
LastPass Heartbleed correttore – lastpass.com/heartbleed
Verifica se un sito è vulnerabile a Heartbleed. Mostra il software del server del sito, indica se era vulnerabile e se il certificato SSL è ora sicuro e quando è stato creato l'ultima volta.
Chromebleed (estensione di Google Chrome)
Visualizza un avviso se il sito che stai navigando è affetto da bug Heartbleed. Controlla l'URL della pagina utilizzando il servizio di Filippo. Utile se non desideri controllare i siti manualmente.
Mashable ha compilato un interessante elenco di siti ben noti indicando il loro stato attuale, se sono stati interessati e se è necessario modificare la password.
Rilevatore di emorragie per Android –
Gli utenti Android possono facilmente verificare se il proprio dispositivo Android è vulnerabile al bug HeartBleed con un'app gratuita chiamata "Heartbleed Detector" di Lookout Mobile Security. L'app determina quale versione di OpenSSL sta utilizzando il tuo dispositivo. Se il tuo dispositivo esegue una delle versioni interessate di OpenSSL, verifica se il comportamento vulnerabile specifico è abilitato o meno.
Tuttavia, se il tuo dispositivo è vulnerabile, non è possibile intraprendere alcuna azione necessaria, a meno che non venga rilasciata una patch da Google o dal produttore del dispositivo.
Tag: AndroidSicurezza