Nuova minaccia all’orizzonte per chi lascia e raccoglie dati personali sugli e-commerce e sui portali di servizi: HeartBleed attacca OpenSSL e mette a rischio password, dati e numeri delle carte di credito degli utenti.
Il problema fondamentale di questa falla: la possibilità, da parte di malintenzionati, di entrare in possesso dei dati personali di un individuo.
Questo bug è stato scoperto dai ricercatori della società di sicurezza informatica finlandese, e lunedì 7 aprile il team di OpenSSL ha pubblicato un aggiornamento per risolvere il problema della vulnerabilità.
Cosa può fare un utente di fronte a questo problema? Può cambiare le password dei principali servizi in cui sono stati inseriti dati personali. Su Leonardo Hi-Tech puoi trovare una lista dei portali che hanno bisogno del tuo intervento. Qualche nome:
Inoltre c’è un servizio che permette di verificare l’eventuale debolezza di siti e servizi. Può essere utile per avere la completa sicurezza, magari incrociando i dati con un altro tool.
Riguardo ai server, invece, la situazione potrebbe riguardare i due terzi delle macchine. La soluzione: eseguire l’aggiornamento 1.0.1g messo a disposizione da OpenSSL che permette di ottimizzare le macchine. Proprio come abbiamo fatto noi di Serverplan.
@gotostudio tutti i server da noi gestiti sono stati già aggiornati per il bug #Heartbleed
— serverplan (@serverplan) April 11, 2014
Stiamo comunicando con i clienti che ci chiedono informazioni: abbiamo già aggiornato i nostri server con la nuova versione di OpenSSL, tranne per i clienti che hanno server dedicati, server virtuali e cloud senza assistenza sistemistica (intrepid support).
Ecco il link con aggiornamento OpenSSL 1.0.1g
Stai usando una di queste soluzioni? Non temere, ma al tempo stesso non perdere tempo prezioso: ci sono alcune operazioni da effettuare il prima possibile.
Alcuni dei servizi comuni che utilizzano OpenSSL comprendono i servizi Web come Apache, i servizi di posta come postfix, i servizi di banche dati come MySQL.
Non c’è bisogno di un riavvio completo del sistema ma solo dei servizi interessati, Inoltre assicurati che utilizzino i nuovi pacchetti OpenSSL.
Ci sono alcuni dettagli da curare in base alle informazioni contenute dai server. Per i server che contengono dati sensibili, come le informazioni personali identificabili o dati di pagamento, è consigliabile effettuare questi ulteriori passaggi:
Tutto bene, i tuoi dati sono al sicuro ora. Ovviamente per qualsiasi problema o domanda puoi contattarci seguendo le indicazioni che trovi nella pagina dedicata al support. Per trovare maggiori informazioni sul bug puoi visitare il sito heartbleed.com.
2 commenti presenti
Andrea M. ha commentato il 2014-04-16 14:34:21
Ciao,
dopo aver aggiornato i vostri server, non dovreste rigenerare i certificati?
Se non sbaglio risalgono a diversi mesi fa.
Riccardo Esposito ha commentato il 2014-04-22 12:23:43
Ciao Andrea! Dovrebbero essere già rigenerati. Per eventuali problemi su uno dei nostri server puoi aprire un ticket al Supporto Tecnico.
https://support.serverplan.com/index.php?/Tickets/Submit