Heartbleed: che cosa è e cosa dovresti fare a riguardo?
Se vedi un simbolo di cuore rosso, vuoto e gocciolante nel tuo feed di notizie, allora sì, probabilmente hai sentito parlare dell'ultima violazione della sicurezza che ha colpito Internet: Heartbleed . Il bug di sicurezza che ha compromesso la sicurezza degli account su siti come Yahoo, Facebook e persino l'agenzia delle entrate canadesi ha l'intero Internet in armi. Probabilmente ti è stato chiesto di cambiare le tue password per le tue e-mail, account online ecc., Ma tieni il passo.
In mezzo a tutte queste informazioni, però, può essere difficile fare testa o croce su cosa sta succedendo esattamente. Cos'è Heartbleed, esattamente? È davvero pericoloso come dicono tutti? Come puoi scoprire se sei affetto? Ecco una rapida occhiata ad alcuni dei principali problemi che circondano Heartbleed e cosa puoi fare al riguardo.
Cosa è Heartbleed?
Heartbleed è un bug che interessa il servizio OpenSSL, che è una libreria crittografica utilizzata per crittografare i dati su più dei due terzi di tutti i siti Web su Internet. Se hai mai visto il logo del lucchetto bloccato nel tuo browser, o visitato un sito utilizzando il protocollo https:, hai familiarità con OpenSSL.
Il bug Heartbleed espone i dati contenuti nella RAM di un server, il che significa che chiunque può accedervi e può curiosare nel traffico Internet, anche quando è presumibilmente crittografato.
Gli interlocutori, se ce ne sono, potrebbero trarre vantaggio da Heartbleed per ottenere le chiavi e i dati di cui avrebbero bisogno per decifrare e leggere tutti i dati crittografati che sono passati di recente attraverso un server.
È un problema?
Dato che più di due terzi dei siti Web e dei servizi su Internet utilizzano OpenSSL, sì, Heartbleed è un grosso problema . Tuttavia, è importante tenere presente che Heartbleed non è un malware o un virus e, pertanto, un sito interessato da Heartbleed potrebbe non aver necessariamente ricevuto alcun furto di dati. Ed è stato intorno, inosservato, dal 2012.
Praticamente tutte le forme di informazioni personali e crittografate sono vulnerabili a Heartbleed. Finché passa attraverso il protocollo OpenSSL, qualcuno potrebbe averlo acceduto illegittimamente. Password, email, nomi utente, comunicazioni: lo chiami, probabilmente è accessibile in qualche modo a causa di Heartbleed.
Quindi, sì, è un problema.
Come dire se sei interessato
Sebbene sia vero che non tutti i servizi sono stati modificati da Heartbleed, è comunque meglio prevenire che curare . Anche se non puoi sapere con certezza se i tuoi dati siano stati compromessi, ci sono un paio di servizi là fuori che possono aiutarti a verificare se sei interessato da Heartbleed.
Filippo Heartbleed Test
Questo test Heartbleed invia heartbeat malformati al sito Web di tua scelta, estraendo circa 80 byte di memoria come prova. In altre parole, il test attacca il sito come un hacker, per verificare se il sito è vulnerabile a Heartbleed.
LastPass Heartbleed Checker
Il team LastPass ha anche creato uno strumento per controllare i siti interessati. Tutto quello che devi fare è digitare il dominio del sito web che vuoi controllare e quindi fare clic su Verifica se il sito è vulnerabile a Heartbleed .
Cosa fare se sei interessato
Se dai controlli, hai scoperto di avere un account su un sito che potrebbe essere compromesso da Heartbleed, devi decidere una linea di condotta. La saggezza comune è di cambiare immediatamente la password, ma questo consiglio ignora un fatto cruciale: non c'è motivo di cambiare le password se il sito non è stato corretto .
Heartbleed, come discusso in precedenza, non è una semplice perdita di database, quindi cambiare semplicemente le password non aiuterà se il problema non è stato risolto dal sito . Alcuni siti web e servizi, come Google, lo avranno chiarito, ma ci saranno sicuramente siti Web che non dichiarano esplicitamente se hanno risolto il problema alla loro fine.
Quello che puoi fare ora è utilizzare uno dei due strumenti elencati sopra, o controllare il sito agli elenchi GitHub o Mashable per vedere se il servizio è ancora vulnerabile.
Si noti che i due strumenti e l'elenco GitHub non fanno distinzione tra servizi che non sono mai stati vulnerabili e servizi che sono stati corretti. Probabilmente è più sicuro modificare le password se il sito segnala che non è vulnerabile .
Semplicemente prendersi una pausa dai servizi interessati potrebbe essere d'aiuto, dal momento che Heartbleed espone solo i dati presenti nella RAM di un server.
Sicurezza della password
Mentre Heartbleed va oltre il semplice problema della sicurezza delle password, è comunque un buon momento per ricordare a noi stessi alcuni dei modi migliori per garantire la sicurezza degli account online. Sì, c'è di più nella sicurezza delle password che semplicemente cambiando la password ogni pochi mesi.
Anche se l' autenticazione a due fattori potrebbe non proteggerti necessariamente da Heartbleed, è comunque una grande misura di sicurezza che dovresti sicuramente sfruttare su tutti i servizi che la supportano.
Se non sei familiare, l'autenticazione a due fattori è un modo di verificare l'identità di un utente in base a due passaggi anziché uno . In altre parole, invece di richiedere solo un nome utente e una password, l'autenticazione a due fattori richiede anche la digitazione di un codice di verifica o l' utilizzo di un'app per smartphone per verificare ulteriormente la tua identità.
Un'altra misura di sicurezza che probabilmente dovresti prendere è quella di utilizzare strumenti per generare e gestire password per te. Il principale vantaggio di questi strumenti è il fatto che creeranno password casuali e le gestiranno per te; non è più necessario memorizzare una tonnellata di password diverse o, peggio ancora, utilizzare la stessa password su più siti web.
Conclusione
Heartbleed è un serio problema di sicurezza che interessa quasi tutti su Internet, e non c'è molto che nessuno di noi può fare al riguardo. Oltre a controllare i servizi che usiamo e cambiando le nostre password se hanno risolto il problema, o prendendo una pausa e rimanendo vigili se non lo hanno fatto, è davvero tutto nelle mani degli amministratori dei server. Semmai, Heartbleed serve a ricordare che non possiamo mai dare per scontata la sicurezza dei nostri dati personali .
Accedi in remoto al tuo computer con Chrome Remote Desktop
Siamo stati tutti lì prima: siamo in ufficio, o fuori casa, e improvvisamente ci rendiamo conto che abbiamo bisogno di un particolare file o documento che si trova su un altro computer . Inoltre, i file non sono su Dropbox o su qualsiasi altro archivio cloud. Questo di solito porta a molte frustrazioni, ma è qui che entrano in gioco le applicazioni desktop remote.
I migliori plugin per finestra modale JavaScript gratuiti
Puoi trovare moltissime modali CSS pure, ma queste non offrono lo stesso controllo di JavaScript . Con un modal JavaScript, puoi aggiungere animazioni personalizzate, input dell'interfaccia utente e migliorare l'esperienza dell'utente.Ma perché progettare qualcosa da zero quando puoi usare una libreria JS ?