Stop a Ecommerce e Online Banking: Cosa Sapere Ora di OpenSSL e Heartbleed

Questo post ti spiega perché a causa di HeartBleed e OPENSSL quest’anno per Pasqua 2014 è meglio si tornare in filiale per fare le operazioni di home banking e nel negozio fisico per fare gli acquisti (che ieri transitavano online).

Rischi dell'openSSL

OpenSSL è un’implementazione aperta per la gestione dei protocollo di sicurezza SSL e TLS che interviene sulle funzioni crittografiche di base di un ecommerce e/o sito bancario; in sostanza quando entro in un server sicuro (homebanking, shop etc) è uno degli ingredienti principali che serve a criptare i dati e le chiavi segrete (user name, passoword, etc). OpenSSL è molto usato grazie a varie funzioni di utilità, al fatto di essere Open source e flessibile ( è usato in vari linguaggi di programmazione, più info su openssl.org)

Il 7 aprile 2014 esce la notizia che tutte le versioni di OpenSSL serie 1.0.1 ( e precedenti) hanno una vulnerabilità  (chiamata #HeartBleed o cuore sanguinante) che permette a potenziali aggressori di accedere a dati sensibili, rompere la cifratura, leggere la memoria e compromettere la sicurezza del server e dei suoi utenti .

QUANTI e QUALI SITI SONO STATI TOCCATI?

Alcune stime parlano di 500.000 web server (17% del campione analizzato ) che usano le estensioni Open SSL vulnerabili all’attacco , altre meno fondate danno numeri molto più alti (esempio Repubblica)

Parlando con un’esperto di Cyber Security italiano, Raoul Chiesa, sembra che buona parte dei certificati SSL hanno dentro queste librerie OPENSSL, quindi il problema potrebbe essere ad ampio raggio su molti home banking e ecommerce che usano i principali certificati SSL come GoDaddy, GeoTrust, Verisign, etc (vedi immagine).  Un altro autorevole esperto, Bruce Schneider, afferma che “il problema su una scala da 1 a 10 è a livello  11″.

Attacco SSL 

COSA DEVO FARE DA OGGI? LA MIA BANCA ONLINE E’ INTERESSATA?

La vulnerabilità esiste da un po’ quindi dovrei in primis chiedere alla mia banca se come metodologia di crittografia ha un certificato che include OPEN SSL serie 1.0.1 o precedenti. Se alla domanda l’impiegato mi risponde “SS Che ?” allora è meglio che

a)      Per qualche giorno NON uso l’Home banking in attesa che la falla venga sistemata (qui puoi testare il tuo server su Heartbleed)

b)      Quando torno ad usare la banca online CAMBIO SUBITO la password

c)       Utilizzo l’home banking solo un browser AGGIORNATO, su un PC / dispositivo dove ho passato un buon antivirus e senza Plug-in

d)      Verifico se il negozio online dove compro usa SSL ed ha una buona sicurezza ( io lo verifico su Wormly )

Domain_tool_e_SSL

Intanto buona PASQUA OFFLINE

Torna in alto
Torna su