Come la settimana scorsa, la saga Heartbleed continua a dominare le testate dei principali media che si occupano di sicurezza informatica. Potrei dedicare l’intero post a Heartbleed, ma non lo farò perché immagino che vorrete conoscere anche le altre notizie della settimana, come la breccia che per un anno ha colpito i disegnatori di un popolare (e “stiloso”) brand di hard disk esterni; la strana mossa di Microsoft che potrebbe avere un impatto importante sulla capacità di installare aggiornamenti di sicurezza; l’iniziativa di un “certo” Gigante di Internet che potrebbe incoraggiare la search optimization a prendere nuove decisioni in quanto a sicurezza; e infine, alcune considerazioni sulla fine del supporto a Windows XP e del suo impatto.
Heartbleed
Come ho già affermato, la saga Heartbleed continua. Nel caso non abbiate prestato attenzione alle notizie delle ultime due settimane e mezzo, Heartbleed è una vulnerabilità crittografica che potrebbe abilitare chiunque su Internet a leggere la memoria di una macchina protetta dal servizio di implementazione crittografico OpenSSL. In alcuni casi, questo piccolo blocco di memoria potrebbe contenere informazioni sensibili come username, password o persino chiavi crittografiche private. Ma non c’è tempo per rispiegare l’intero problema in una rassegna sulle principali notizie della settimana. Tuttavia, se avete perso il filo, potete trovare molte informazioni nel nostro articolo principale su Heartbleed e informazioni aggiuntive in un secondo post, dove si tratta la gravità del problema. Se invece i temi di questi post vi risultano familiari, andiamo avanti.
Durante il week-end, Heartbleed ha attraversato fasi transitorie, da seria (sebbene ipotetica) vulnerabilità di sicurezza, a bug critico sfruttabile e capace di mietere molte vittime. Un sito web del Regno Unito (Mumsnet) è stato attaccato da alcuni hacker sfruttando Heartbleed e ha compromesso i sistemi sotto il controllo della Canadian Revenue Agency. Per più di 6 ore, prima che CRA riuscisse a aggiornare i suoi sistemi con la versione “patchata” di OpenSSL, gli hacker avevano rubato i dati dell’assicurazione sanitaria di più di 900 cittadini.
Secondo un’analisi di un campione casuale di nodi Tor realizzata da Collin Mulliner della Northeastern University di Boston, persino il 20% dei server o “nodi di uscita” della rete Tor era vulnerabile e Tor ha iniziato a bloccare i nodi.
Nonostante questi attacchi, numerose analisi dimostrano che il furto dei certificati è in effetti possibile. Tutti parlano della necessità di rimpiazzare i certificati potenzialmente compromessi; tuttavia, la corsa verso la revoca e la sostituzion dei certificati non sembra essere del tutto reale. Questi certificati assicurano che il sito che state visitando è il sito che credete che sia. I certificati, detto in forma letterale, “certificano” la affidabilità di un sito su Internet. Certamente dall’apparizione di Heartbleed abbiamo assistito a un boom di revoche di certificati e di sostituzioni, tuttavia l’esplosione non è del tutto proporzionale all’obiettivo del bug.
LaCie, una breccia della durata di un anno
Secondo Chris Brook, collega e collaboratore, l’azienda di hardware francese LaCie, famosa per i suoi hard disk colorati, ha annunciato questa settimana di essere stata vittima di una breccia di siurezza che potrebbe mettere a repentaglio i dati sensibili di chiunque abbia acquistato un prodotto dalla loro web nell’ultimo anno. L’azienda afferma che un hacker ha compromesso i loro sistemi online con un malware e poi ha usato l’accesso per rubare i nomi, gli indirizzi fisici ed email dei clienti, così come le informazioni di pagamento e le date di scadenza delle tessere. In questo modo, se avete comprato qualcosa dal sito di LaCie, le vostre informazioni potrebbero essere in pericolo, nonostante siate già stati informati dall’azienda se questo è il vostro caso.
Microsoft e una nuova bizzarra decisione
Di recente Microsoft ha deciso di non fornire più aggiornamenti di sicurezza agli utenti con versioni non aggiornate di Windows 8.1. La notizia mi ha lasciato abbastanza sconcertato sebbene suppongo ci sia una valida spiegazione. Nel futuro, per ricevere aggiornamenti di sicurezza i clienti dovranno prima aggiornare i loro computer con l’update più recente di Windows 8.1 emesso in Aprile.
Ho parlato con un portavoce di Microsoft ma non mi ha fornito molte spiegazioni sul perché della decisione. La buona notizia è che (come ha sottolineato il portavoce di Microsoft) questa decisione solo interessa una piccola percentuale degli utenti che non hanno abilitato la funzione dell’auto-aggiornamento abilitato. Per quanto ci riguarda, raccomandiamo sempre di attivare gli aggiornamenti automatici, nonostante credo che la funzionalità sia attiva di default nella maggior parte dei sistemi operativi Windows commerciali. Se avete attivato l’aggiornamento automatico, non vi dovete preoccupare di nulla. Se invece installate gli aggiornamenti manualmente, dovrete prima installare gli aggiornamenti di Windows 8.1 di aprile per poter poi installare le patch mensili. La scelta spetta a voi, sebbene una delle due sembra di gran lunga più sensata.
Va detto, inoltre, che circolano delle voce che affermerebbero che Google potrebbe aggiungere qualche formula al loro magico algoritmo di ricerca che favorirebbe i siti web che implementano la crittografia. The Wall Street Journal afferma che questa notizia si basa su qualcosa che il “guru dell’algoritmo” di Google, Matt Cutts, avrebbe detto durante una conferenza. Google non ha negato completamente queste supposizioni, ma il Gigante affermò che l’azienda non ha nulla da dichiarare al momento. Difficile dire se Google ci stia facendo un pensierino, ma ma sembra davvero una buona idea.
XPocalypse
Parlando di cose che Microsoft non supporterà più, lo scorso mese Microsoft ha ufficialmente rilasciato l’ultima patch di sicurezza per Windows XP. Da tempo si parla dell’impatto che potrebbe avere la fine del supporto per un sistema operativo usato ancora dal 28% dei computer. È troppo presto per dire quale sarà, ma probabilmente è tempo di liberarsi di XP se lo state ancora utilizzando. Devo dire che forse non avremmo parlato tanto di XP se non fosse emerso il bug Heartbleed e scommetto che ne parleremo ancora per un po’. Qui potete trovare un articolo esaustivo sulla fine del supporto a Windows XP.
Notizie dal mondo dei dispositivi mobili
Ultima, ma non per questo meno importante, è la notizia che riguarda il nuovo report elaborato dai ricercatori di Kaspersky Lab da cui emerge che il business dei malware bancari su Android è più florido che mai. Ogni giorno che passa aumenta il numero degli attacchi, come quello che ha colpito il sistema biometrico di alcuni telefoni.