Heartbleed: cosa fare adesso?

heartbleed-cosa-fare-adesso

Negli ultimi giorni non si è parlato d’altro (almeno nel mondo informatico): Heartbleed, la colossale vulnerabilità che esisteva da più di due anni e che ha colpito milioni di siti e servizi, inclusi giganti come Google, Yahoo!, Instagram, Dropbox e tanti altri.

Come spesso accade in questi casi, l’informazione è stata resa pubblica pochi giorni fa ma nulla vieta che la falla in questione sia stata utilizzata in passato su Internet.

Per dare un’idea della portata e per rendere un servizio utile, vi rimandiamo ad una lista dei principali siti e servizi colpiti, con le relative informazioni e se si ritiene necessario cambiare la propria password.

Questa è in italiano: http://www.wired.it/internet/web/2014/04/10/heartbleed-elenco-siti-cambiare-password-subito/

Questa è più completa, in inglese: http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Ma adesso siamo al sicuro?

La risposta è NI: tutti i siti che usano openSSL hanno provveduto ad aggiornare i propri sistemi, mettendo i dati dei propri clienti in sicurezza; purtroppo non c’è garanzia per quello che potenzialmente può essere accaduto negli ultimi due anni.

Per quanto ci riguarda, teniamo sempre aggiornata la nostra infrastruttura, anche a livello applicativo.
In questa occasione abbiamo compiuto un ulteriore ciclo di aggiornamenti, per assicurarci di avere tutte le ultime versioni dei software, verificando che fossero state specificamente rilasciate per risolvere il problema. Dove c’erano dubbi abbiamo contattato direttamente le aziende produttrici per avere conferme in merito.

Inoltre, i sistemi di protezione e monitoraggio aggiuntivi che adottiamo sui nostri sistemi non hanno rilevato tentativi di intrusione o accessi anomali.

Adesso però, per tornare a stare tranquilli, bisogna ancora fare un paio di cose:

 1. Cambiare TUTTE le password importanti

Anche se nei tanti articoli, tra le liste di siti a rischio e le varie guide abbiamo letto che dobbiamo cambiare le password di quei siti che sono stati sicuramente colpiti dalla vulnerabilità, noi consigliamo di CAMBIARE TUTTE LE PROPRIE PASSWORD, almeno tutte quelle che si ritengono importanti.

Chiamateci paranoici, ma prima di tutto siamo utenti del web, utenti anche assidui se volete, e sappiamo come nella vita quotidiana può succedere di fare cose che vanno contro il buon senso, come mandare una password per posta o via instant messenger, salvare delle password su un servizio di cloud storage per sincronizzarle col telefonino, non cambiare una password che ci viene inviata automaticamente  quando attiviamo un servizio.

Alla luce delle ultime rivelazioni per cui potrebbero essere vulnerabili a Heartbleed anche tutti i dispositivi con sistema operativo Android v. 4.1.1, alcuni router di Cisco e Juniper e probabilmente anche molti PC, vi chiediamo:

anche se nella maggior parte dei casi non succederà nulla, nessuno bucherà il  vostro sito o leggerà la vostra posta, vale la pena rischiare?

Tenete anche in conto che cambiare la password di Gmail, Yahoo! o Dropbox mette al sicuro i dati che riceverete/caricherete da oggi in poi, ma tutto quello già avevate o che è passato per quei server potrebbe essere stato compromesso e queste informazioni potrebbero restare pubblicate nel cosidetto Deep Web a lungo.

 

2. I certificati SSL (se ne avete uno)

Se per il vostro sito avete un certificato SSL, è ora di rigenerarlo: GlobalSign, uno dei principali fornitori di certificati SSL raccomanda a tutti di rigenerare i certificati per i propri siti e, data la situazione, offre gratuitamente questo servizio.

Qui trovate l’avviso e alcune informazioni

https://hk.globalsign.com/ssl-information-center/Important-Security-Advisory-Heartbleed-Bug.html

mentre qui trovate le istruzioni su come fare

https://support.globalsign.com/customer/portal/articles/1223116?__hstc=2986863.0b9d1e65e5a1a9fe0c66b134c0c826bd.1396248706872.1397089119609.1397091584287.4&__hssc=2986863.1.1397091584287&__hsfp=20664340

3. Aggiornare il server/VPS (se ne gestite uno)

In realtà è la prima cosa da fare se si gestisce un server, sia esso fisico che virtuale, ma abbiamo preferito dare più evidenza alle password, che riguardano più utenti.

Sembra abbastanza scontato, ma meglio dirlo: aggiornate immediatamente openSSL e tutti i software/servizi che ne fanno uso, se non l’avete fatto.
Se avete un server e non lo gestite direttamente, sentitevi liberi di stressare il vostro sistemista di fiducia affinchè controlli che sia tutto ok, è importante.

ATTENZIONE! Ci sembra molto importante ricordarvi che non basta aggiornare il componente openSSL, ci sono software (il gestore di posta Zimbra, ad esempio) che non usano il modulo SSL installato sul server, ma hanno un servizio openSSL privato al loro interno. Tutti questi software devono essere aggiornati all’ultima versione disponibile.

Un’ultima raccomandazione, se avete dubbi sulla sicurezza di un particolare software o servizio, scrivete pure ai produttori/fornitori, è loro interesse rispondere in modo chiaro ed esaustivo.

Il team di Zimbra ha pubblicato una guida all’aggiornamento su questa pagina, per cPanel trovate tutte le informazioni su quest’altra pagina.

Ricordatevi poi di riavviare i servizi che aggiornate, altrimenti gli aggiornamenti saranno inefficaci!

Per gli utenti di server e VPS managed di Netsons: abbiamo già completato tutte le verifiche e gli aggiornamenti necessari per garantire la sicurezza dei sistemi.

Se non avete ancora capito come funziona heartbleed

Non disperate, in effetti non è facile da spiegare a chi non ha qualche nozione sui sitemi, ma quelli di XKCD hanno provato a semplificare con questo fumetto.

heartbleed_explanation