Bug di sicurezza Heartbleed: cosa devono sapere gli utenti Apple

Il bug Heartbleed appena scoperto viene definito il peggior bug di sicurezza del Web di sempre.

Consente agli hacker di rubare password e dettagli di accesso quando gli utenti visitano siti vulnerabili, senza essere rilevati. Questa è la parte negativa: i siti interessati probabilmente non hanno idea di essere vulnerabili. Il bug è soggetto a un avviso di sicurezza di emergenza. Alcuni esperti stimano che potrebbe essere interessato fino al 66% dei server di Internet. Ogni server deve essere riparato manualmente. Quindi potrebbe volerci un po' di tempo.

Intanto:

• Non accedere a nessun sito finché non ti sarà dato ufficialmente il via libera.
• Cambia tutte le tue password per siti web ed e-mail. Soprattutto per siti sensibili come banche, carte di credito e webmail. Tuttavia: aspetta di sapere che un sito è stato corretto prima di cambiare le password. Siti come Tumblr e Yahoo hanno inviato oggi e-mail di avviso dicendo agli utenti di cambiare le loro password.
insta stories
• Apple.com e iCloud sembrano non essere interessati, secondo questo elenco (non ufficiale) su Github.
• Installa il Chromebleed Checker per il browser Chrome di Google - viene visualizzato un avviso se un sito è vulnerabile (Cult of Mac non lo è. Vedi screenshot qui sotto).

Abbiamo contattato il dipartimento PR di Apple per un commento. Nessuna risposta ancora. Aggiorneremo se Apple rilascia dichiarazioni o emette un avviso.

Il bug Heartbleed è brutto. Colpisce i server web, i computer che alimentano i siti web. Non influisce sul tuo computer o dispositivo iOS, ma ti rende vulnerabile perché gli hacker possono potenzialmente rubare i tuoi dettagli dai siti che visiti. È un difetto di OpenSSL, una tecnologia di crittografia utilizzata dalla stragrande maggioranza dei siti Web in Rete, sebbene, a quanto pare, non il sito Web di Apple o i suoi servizi online come iCloud. Anche Google, Microsoft e le grandi banche sembrano non essere vulnerabili, ma potrebbero esserlo molti siti e server più piccoli.

Il difetto consente agli hacker di estrarre dati dalla memoria di lavoro di un server, comprese le chiavi di crittografia del server. Ciò consentirebbe agli hacker di decrittografare tutto il traffico da e verso il server, esponendo dati sensibili come accessi, password e tutto il resto.

Puoi controllare i singoli siti usando questo Correttore del Sangue di Cuore.

Colpisce una versione precedente di OpenSSL in circolazione da due anni, quindi anche i siti che sono stati aggiornati potrebbero essere stati vulnerabili in passato. Nessuno può dirlo perché il difetto consente agli hacker di saccheggiare i dati senza lasciare traccia della loro presenza. Ci sono prove che gli hacker sono consapevoli del difetto e lo stanno sfruttando, secondo i rapporti.

C'è una spiegazione più tecnica su Heartbleed.com, che stima che fino al 66 percento del Web potrebbe essere vulnerabile. Enormi servizi come Yahoo, OKCupid e Tumblr utilizzano OpenSSL per crittografare i dati.

Fino a quando la maggior parte dei server web non sarà riparata, il miglior consiglio è di stare temporaneamente lontano dai siti che potrebbero esporre i tuoi dettagli privati.

I server vulnerabili dovranno essere aggiornati dai loro amministratori, server per server, il che potrebbe richiedere giorni o addirittura settimane. E non c'è alcuna garanzia che tutti i server vulnerabili vengano corretti. Il miglior consiglio è di trattarli sito per sito.

E se sei veramente attento alla sicurezza, il progetto TOR sta consigliando che potresti voler evitare del tutto Internet.