Heartbleed - La grave falla di sicurezza

[giginx]

Se ne parla qui. Ci dobbiamo preoccupare?

[fragrua]

Personalmente non mi preoccupo. Ma solo perché l'unica password che metto online a "rischio" è quella del mio CC vuoto o della PostaPay.
Per gli altri (forse) so cavoli!

Per il resto, password, account, siti… ormai mi interessano meno, preferisco correre, tre una passeggiata o pedalare.

[a-mac]

fonte: http://viglug.org/newsletter/" onclick="window.open(this.href);return false;

Password e dati dei siti web a rischio!
Cara pinguina, caro pinguino,

forse avrai sentito della grave falla di sicurezza chiamata "HeartBleed" (cuore sanguinante) che mette in serio pericolo le tue password e i tuoi dati su internet.

Noi crediamo che ci sia poca informazione in merito: ti scriviamo per informarti e invitarti a prendere alcune contromisure per tutelarsi, come cambiare le proprie password. In questa mail ti forniremo maggiori informazioni sui siti e servizi compromessi.

Cos'è successo?

E' stato trovato un importante bug di sicurezza in un software ampiamente utilizzato, chiamato OpenSSL che si stima sia utilizzato da due terzi dei siti web mondiali, oltre che dai server di posta elettronica e da molti altri servizi, come quelli di messaggistica, chat e reti private virtuali.

E' grave?

Molto: in tanti lo considerano il più grave problema di sicurezza nella storia di internet. Questa vulnerabilità può essere sfruttata da un malintenzionato per intercettare le nostre comunicazioni, rubare i nostri username, le nostre password, riuscendo così a accedere così ai nostri servizi internet.

Cosa posso fare?

Cambia al più presto le password dei siti più importanti

Sappiamo con certezza che Google, Yahoo, Facebook, Flickr, Wikimedia, Dropbox, Tumblr, Lastpass, SoundCloud ed Amazon Web Service erano vulnerabili, quindi su questi è necessario cambiare i propri dati d'accesso.

Amazon, Paypal, Evernote, Microsoft, Hotmail, ed AOL non sono stati affetti dal problema, mentre non si hanno ancora risposte ufficiali per quel che riguarda i portali di Apple ed Ebay. Si può verificare se un sito è vulnerabile con l'Heartbleed test.

Maggiori informazioni

Il problema è stato introdotto con un aggiornamento rilasciato poco più di due anni fa, quindi non è da escludere che, prima di essere stato corretto, qualche malintenzionato abbia potuto sfruttarlo, anche al fine di decriptare comunicazioni da noi fatte precedentemente.

Se si gestisce un server e si usa una versione di OpenSSL dalla 1.0.1 alla 1.0.1f, aggiornare il programma (o compilarlo con l'opzione -DOPENSSL_NO_HEARTBEATS) e rigenerare le chiavi.

Siamo a tua disposizione per ogni chiarimento sul nostro forum forum.viglug.org

Gira questa mail ai tuoi amici, conoscenti, parenti ed informali del problema!

http://heartbleed.com/" onclick="window.open(this.href);return false;
http://mashable.com/2014/04/09/heartble ... -affected/" onclick="window.open(this.href);return false;
https://www.fsf.org/news/free-software- ... nerability" onclick="window.open(this.href);return false;

TEST: http://filippo.io/Heartbleed/" onclick="window.open(this.href);return false;

[a-mac]

SSL certificate test your installation
https://ssltools.geotrust.com/checker/" onclick="window.open(this.href);return false;

[a-mac]

fonte: rapidssl.com

Important Service Notification

Dear customer,

RapidSSL is aware of the vulnerability, dubbed “Heartbleed”, which is a security concern for users of OpenSSL, a widely-used opensource cryptographic software library. It can allow attackers to read the memory of the systems using vulnerable versions of OpenSSL library (1.0.1 through 1.0.1f). This may disclose the secret keys of vulnerable servers, which allows attackers to decrypt and eavesdrop on SSL encrypted communications and impersonate service providers. In addition, other data in memory may be disclosed, which conceivably could include usernames and passwords of users or other data stored in server memory.

To be clear, this is a vulnerability of the OpenSSL library, and not a flaw with SSL/TLS, nor certificates issued by RapidSSL. At no time were RapidSSL’s SSL or Code-Signing roots and intermediates at risk, nor was there ever an issue with RapidSSL certificates.

Steps to Success:

Identify if your web servers are vulnerable (running OpenSSL versions 1.0.1 through 1.0.1f with heartbeat extension enabled). Use our SSL Toolbox to detect this. If you’re running a version of OpenSSL prior to 1.0.1, no further action is required.
If your server is impacted, update to the latest patched version of OpenSSL (1.0.1g), or recompile OpenSSL without the heartbeat extension.
Generate a new Certificate Signing Request (CSR).
Reissue any SSL certificates for affected web servers using the new CSR (do this after moving to a patched version of OpenSSL).
Install the new SSL certificate and test your installation.
After the new certificate is successfully installed, revoke any certificates that were replaced.
Website administrators should also consider resetting end-user passwords that may have been visible in a compromised server memory.
Always refer back to the Knowledge Base for further support more information.
If you have additional questions, please contact your SSL Reseller for further support and more information.

Best Regards,

Tom Powledge
V.P., Trust Services

[a-mac]

fonte: @tumblr.com

È stata svelata una importante vulnerabilità, nota come “Heartbleed”, nella tecnologia che alimenta i sistemi di crittografia della maggior parte di internet, Tumblr incluso. Il nostro team si è subito messo all’opera per risolvere il problema, ma questa potrebbe essere comunque una buona occasione per cambiare le vostre password, non solo su Tumblr, ma su tutti gli altri siti che visitate.

Dovreste inoltre considerare la possibilità di attivare l’autenticazione a due fattori per rendere il vostro account mille volte più sicuro. Grazie!

https://www.tumblr.com/login" onclick="window.open(this.href);return false;

[a-mac]

alcuni dei siti e servizi web, per i quali consigliano cambiare la password

Google, Yahoo, Facebook, Flickr, Wikimedia, Dropbox, Tumblr, Lastpass, Amazon

[kato]

alcuni dei siti e servizi web, per i quali consigliano cambiare la password

Chi lo consiglia? Chiedo in quanto tra i vari account solo nasa.gov (distribuzione dati, non vi pensate chissà che) mi ha inviato un messaggio su heartbleed e tra l'altro dicendo solo che ci avevano messo una pezza...

[a-mac]

alcuni dei siti e servizi web, per i quali consigliano cambiare la password

Chi lo consiglia? Chiedo in quanto tra i vari account solo nasa.gov (distribuzione dati, non vi pensate chissà che) mi ha inviato un messaggio su heartbleed e tra l'altro dicendo solo che ci avevano messo una pezza...

ma leggi anche tu una riga sì e quindici no !?

ma se arrivano messaggi direttamente da tumblr ed altri social
oltre a ricevere messaggi direttamente dagli enti certificatori

[kato]

ma leggi anche tu una riga sì e quindici no !?

Come osi insinuare?! Scrivevo proprio in quanto nulla ricevvi da altri della lista. Che gente...

[mattleega]

Dicesi "faccina sensibile."

[kato]

Ah, ecco. Pensavo dicessi a me e stavo per dire "ma dovevo aggiungere una ?"

[mattleega]

[a-mac]

nessuno di voi possiede un account Tumblr ?
ho ricevuto solo io il messaggio da Tumblr ?!

alcuni portali e servizi web, hanno riconosciuto ed avvissato
altri no
meglio non fidarsi e cambiare le password almeno nei servizi elencati

e poi andare a vedere dove viene utilizzato OpenSSL (SSL/TLS) e farsi alcune domande spontanee

è più grave di quanto non la raccontano

anche per chi gestisce Server Web, e-commerce et simil

[a-mac]

Il bug Heartbleed colpisce anche le app
http://www.ilsole24ore.com/art/tecnolog ... 3628.shtml" onclick="window.open(this.href);return false;

Heartbleed, 1300 server usati da app
http://www.macitynet.it/heartbleed-atte ... infezioni/" onclick="window.open(this.href);return false;

Heartbleed, a rischio anche le app: scopri quali sono vulnerabili
http://www.wired.it/mobile/app/2014/04/ ... lnerabili/" onclick="window.open(this.href);return false;

Heartbleed, coinvolto anche hardware
http://www.ansa.it/sito/notizie/tecnolo ... 4888d.html" onclick="window.open(this.href);return false;

Heartbleed, l’elenco dei siti a cui cambiare password subito
http://www.wired.it/internet/web/2014/0 ... rd-subito/" onclick="window.open(this.href);return false;

Chi ha colpito il bug OpenSSL e cosa occorre fare
http://www.ilsole24ore.com/art/tecnolog ... 0144.shtml" onclick="window.open(this.href);return false;