Heartbleed, i siti Web più visitati al mondo hanno corretto la falla

• Andrea Guida (@naqern)


• 18 Apr 2014

Si continua a parlare di Heartbleed, l’ormai famigerato bug di OpenSSL che ha messo a rischio le informazioni personali e i dati di login di tutti noi. Questa volta però sembrano esserci buone notizie all’orizzonte.

Secondo un report pubblicato dall’azienda di sicurezza informatica Sucuri, i 1.000 siti Web più visitati al mondo secondo il rating di Alexa hanno corretto la falla e quindi non sono più soggetti al rischio di furto dei dati (almeno non per colpa di HeartBleed). Ampliando lo sguardo, appena 53 siti su 10.000 sono risultati vulnerabili e 1595 su 100.000.

Nel complesso – si legge sul blog di Sucuri – nel primo milione di siti classificati da Alexa come i più visitati della Rete solo il 2% risulta ancora soggetto alla falla di OpenSSL (20.320 su 1.000.000, per la precisione). A questo punto, tocca a noi correre ai ripari.

Il metodo per farlo lo conoscete già: assicuratevi che il sito o il servizio online a cui siete iscritti non sia più attaccabile tramite Heartbleed (basta inserire il suo indirizzo qui) e provvedete a cambiare la password di accesso che avete su quest’ultimo. Semplice.

Per chi volesse approfondire l’argomento Heartbleed e capirne di più, ma con parole semplici, consigliamo caldamente la lettura del post “The Heartbleed Bug, explained” su Vox. Eccone un rapido estratto pubblicato da Filippo Corti su BicycleMind.

SSL è una tecnologia di crittografia molto popolare che consente agli utenti di proteggere la privacy delle informazioni che trasmettono su Internet. […] La maggior parte dei siti web SSL crittografati si basano su un pacchetto software open-source chiamato OpenSSL. […] Lo standard SSL include un’opzione denominata heartbeat che consente a un computer posto a uno dei capi di una connessione SSL di inviare un breve messaggio per verificare che l’altro computer sia ancora online e ricevere una risposta. I ricercatori hanno scoperto che è possibile inviare un messaggio heartbeat maligno che inganna il computer posto all’altra estremità della connessione SSL portandolo a divulgare informazioni segrete. In particolare, un computer vulnerabile può essere indotto a trasmettere il contenuto della memoria del server, nota come RAM.

[Sucuri Blog via Neowin]