HeartBleed e OpenSSL: proteggi i tuoi dati


Postato in data aprile 14th, da Riccardo Esposito in News. 2 comments

Nuova minaccia all’orizzonte per chi lascia e raccoglie dati personali sugli e-commerce e sui portali di servizi: HeartBleed attacca OpenSSL e mette a rischio password, dati e numeri delle carte di credito degli utenti.

heartbleed

Il problema fondamentale di questa falla: la possibilità, da parte di malintenzionati, di entrare in possesso dei dati personali di un individuo.

Questo bug è stato scoperto dai ricercatori della società di sicurezza informatica finlandese, e lunedì 7 aprile il team di OpenSSL ha pubblicato un aggiornamento per risolvere il problema della vulnerabilità.

Fermare HeartBleed

Cosa può fare un utente di fronte a questo problema? Può cambiare le password dei principali servizi in cui sono stati inseriti dati personali. Su Leonardo Hi-Tech puoi trovare una lista dei portali che hanno bisogno del tuo intervento. Qualche nome:

  • Tumblr
  • Yahoo
  • Amazon web service
  • Dropbox

Inoltre c’è un servizio che permette di verificare l’eventuale debolezza di siti e servizi. Può essere utile per avere la completa sicurezza, magari incrociando i dati con un altro tool.

Riguardo ai server, invece, la situazione potrebbe riguardare i due terzi delle macchine. La soluzione: eseguire l’aggiornamento 1.0.1g messo a disposizione da OpenSSL che permette di ottimizzare le macchine. Proprio come abbiamo fatto noi di Serverplan.

Stiamo comunicando con i clienti che ci chiedono informazioni: abbiamo già aggiornato i nostri server con la nuova versione di OpenSSL, tranne per i clienti che hanno server dedicati, server virtuali e cloud senza assistenza sistemistica (intrepid support).

Ecco il link con aggiornamento OpenSSL 1.0.1g

Aggiorna il tuo server

Stai usando una di queste soluzioni? Non temere, ma al tempo stesso non perdere tempo prezioso: ci sono alcune operazioni da effettuare il prima possibile.

  • Aggiorna il sistema all’ultima versione OpenSSL usando yum, apt-get o il tuo gestore pacchetti (qui trovi anche le istruzioni del blog cPanel).
  • Riavviare tutti i servizi di sistema che utilizzano OpenSSL.

Alcuni dei servizi comuni che utilizzano OpenSSL comprendono i servizi Web come Apache, i servizi di posta come postfix, i servizi di banche dati come MySQL.

Non c’è bisogno di un riavvio completo del sistema ma solo dei servizi interessati, Inoltre assicurati che utilizzino i nuovi pacchetti OpenSSL.

Dati sensibili

Ci sono alcuni dettagli da curare in base alle informazioni contenute dai server. Per i server che contengono dati sensibili, come le informazioni personali identificabili o dati di pagamento, è consigliabile effettuare questi ulteriori passaggi:

  • Genera nuove chiavi per i certificati SSL.
  • Reimposta le password critiche in applicazioni web e nel sistema operativo di base.

Tutto bene, i tuoi dati sono al sicuro ora. Ovviamente per qualsiasi problema o domanda puoi contattarci seguendo le indicazioni che trovi nella pagina dedicata al support. Per trovare maggiori informazioni sul bug puoi visitare il sito heartbleed.com.

Riccardo Esposito

Blogger per Serverplan, webwriter freelance e autore di My Social Web. Scrivo ogni giorno. Ho pubblicato un libro dedicato al mondo del blogging. Ah, l'ho già detto che scrivo?




2 commenti su “HeartBleed e OpenSSL: proteggi i tuoi dati

  1. Ciao,
    dopo aver aggiornato i vostri server, non dovreste rigenerare i certificati?
    Se non sbaglio risalgono a diversi mesi fa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Shares