Cos’è Heartbleed e perché è così pericoloso

Posted by on 5 maggio 2014
Logo Heartbleed

Fonte: heartbleed.com

Che cos’è Heartbleed

In una frase:

Heartbleed è una delle peggiori falle di sicurezza informatica a livello mondiale, sfruttata per due anni da diversi organizzazioni governative e criminali e che ha permesso loro di accedere ai tuoi dati personali e lavorativi.

Alcuni dettagli:

Un numero incredibilmente elevato di siti internet, server email e reti private (VPN) utilizzano un software chiamato OpenSSL per schermare e difendere le comunicazioni tra il tuo computer e i loro server. Quando effettui il login su Yahoo, per esempio, OpenSSL impedisce ad un attacker di intercettare i dati trasmessi dal tuo computer per catturare i tuoi user name e password. La libreria OpenSSL ha un grosso ruolo nella gestione della difesa dei dati scambiati online – è il cuore della sicurezza online, si può dire.

Heartbleed è una grossa falla di sicurezza in diverse versioni di OpenSSL, che permette l’accumulo di informazioni nella memoria di un server dopo che queste sono state decriptate. Questa memoria può essere letta da chiunque su internet. Questo bug permette agli attacker di dare un’occhiata alle tue credenziali di login e di conoscere la chiave di decriptazione di cui hanno bisogno per sbloccare altre informazioni sensibili che sono state già salvate o trasmesse. Può dare l’opportunità a degli hacker di impersonare alcuni siti internet in futuro.

Nel caso in cui il tuo bagaglio di conoscenza tecniche sia abbastanza consistente, ulteriori dettagli sono disponibili presso heartbleed.com

Inoltre, XKCD riesce a spiegare con una sola vignetta la pericolosità di e la “semplicità” di questa falla: xkcd.com/1354/

Qual è il rischio:

Senza esagerare troppo, si può presumere che alcuni hackers abbiano raccolto le credenziali e i dati di CHIUNQUE e OVUNQUE. E’ decisamente probabile che abbiano scaricato TUTTI i tuoi archivi email, contatti, SMS, cronologia internet, sequenze di tasti premuti sulla tastiera ( cellulari, tablet o computer, per mesi), fotografie e comunicazioni private su Facebook, LinkedIn, Twitter, Whatsapp e così via. Per farla breve, almeno una decina di diverse organizzazioni possiedono TUTTI i tuoi dati personali e li conserveranno, analizzeranno, copieranno e rivenderanno nei prossimi mesi, anni o decenni, tirandone fuori ingenti quantità di denaro (tutti questi dati hanno un valore incredibile).

Ma io non ho niente da nascondere, perché dovrei essere preoccupato?

Se credi di non avere niente da nascondere, probabilmente non ti sei ancora reso conto della gravità del problema. Puoi pensare che non è particolarmente piacevole l’idea di CONDIVIDERE tutte le tue email private, numeri di telefono, persone che hai chiamato o che ti hanno chiamato, le tue conversazioni ecc. ecc. – di condividere tutto ciò con decine di governi stranieri e migliaia di criminali nel mondo. Potrebbe non essere un problema adesso, ma non puoi sapere come questo materiale possa rappresentare un problema tra dieci anni o anche prima. Le leggi e i governi cambiano: ciò che è innocuo o accettato oggi può non esserlo domani. Più dati si hanno a disposizione su di te, più sei vulnerabile e maggiore sarà il rischio di un furto di identità, danneggiamento della tua reputazione o qualsiasi altra cosa che possa farti del male. Tutti vogliono avere una vita di successo. A questo spesso si associa l’invidia di chi non lo raggiunge: per questo motivo è importante tenere per sé alcuni aspetti della propria vita privata, ben lontane da chi vuole distruggere il tuo successo.

Alcuni consigli per l’uso quotidiano o lavorativo di internet:

1. Per quanto possibile, stai lontano da internet. E’ davvero così grave. Sul serio, questo è stato il primo consiglio dato pubblicamente una volta scoperta questa falla. Se hai bisogno di fare qualcosa online, è meglio riconsiderare il numero di servizi che utilizzi su internet e continuare ad utilizzare solo quelli assolutamente necessari e che danno un valore aggiunto alla tua vita. Più servizi utilizzi, maggiori saranno i rischi.

2. Usa un Password Manager che NON si sincronizza online (non cloud). Ce ne sono alcuni molto validi e integrati con i browser più comuni, come “Keepass”. Conservano tutte le tue credenziali d’accesso in un file criptato localmente e che si può facilmente conservare su un hard-disk esterno con un backup regolare.

3. Se possibile, utilizza differenti dispositivi per scopi diversi. Un tablet per navigare “casualmente” su internet e il tuo personal computer solo per le “cose serie”. In questo modo riuscirai a ridurre la superficie d’attacco su un singolo device.

4. Non utilizzare MAI la stessa password, ovunque. Impara una singola password, lunga e 100% casuale, come ad esempio “aswi34£”$&!RTi” e usala come master password per il tuo password manager. Per quanto possa sembrare stupido, non salvarla MAI su un dispositivo elettronico ma conservala su un comunissimo pezzo di carta. Utilizza un singolo computer per avviare il password manager. Esegui un backup di quel computer regolarmente. Alla fine ricorderai a memoria quella password anche semplicemente dopo averla inserita cinquanta volte.

5. Non cliccare mai ALCUN link in ALCUNA email. Mai. E’ molto più sicuro copiare l’URL (tasto destro -> copia URL di destinazione) e inserirlo direttamente nel browser.

6. Sul browser: Disinstalla Flash – migliora la tua sicurezza online. Disinstalla anche Java se non ne hai davvero bisogno. Orde di nerd discutono da anni su quale sia il browser più sicuro e sembra che Chrome sia quello migliore da questo punto di vista, anche se Firefox sembra proteggere meglio la tua privacy (e sviluppato da un’organizzazione senza fini di lucro). Stai pur certo che ogni tua mossa è tracciata online anche con i cookies disabilitati. Puoi usare Tor e NoScript per proteggere la tua identità. Con un po’ di pazienza aggiuntiva, puoi installare alcuni tool come Little Snitch (Mac) o ZoneAlarm (Windows) per controllare dove il tuo browser si collega mentre navighi su internet. Sarai sorpreso da quante aziende tengono traccia di ciò che fai online.

7. Tieni il tuo sistema offline quando non usi internet. Disabilità il WiFi sul tuo smartphone e la connessione internet sul tuo PC.

8. Esegui sempre gli updates su tutti i tuoi device. Se hai un iPhone o iPad e non utilizzi iOS 7.1.1 o hai una vecchia versione di Android, stai invitando degli hacker ad entrare nel tuo sistema ed è probabile che qualcuno ha già dei log con tutto ciò che hai digitato sul tuo device. Non eseguire questi update mette a rischio i tuoi dati ma anche quelli della tua famiglia, amici o azienda per cui lavori.

9. Analizza l’attrezzatura di networking che utilizzi privatamente, perché potrebbe essere già compromessa. Se non hai mai fatto l’update di un firmware o controllato la sicurezza del tuo router WiFi, è probabile che tu sia stato già attaccato. Alcune marche sono note per la loro debolezza dal punto di vista della sicurezza. Ovviamente non posso fare nomi ma con una veloce ricerca è facile trovare delle opinioni in merito.

10. Smettila di condividere sui social network. Dai per scontato che ogni conversazione “privata” viene catturata e detenuta dalla NSA, diversi governi e un buon numero di criminali. Quello che condividi elettronicamente con i tuoi contatti può essere usato contro di te in futuro. Ogni pagina internet può avere del codice malevolo che può danneggiare la tua privacy.

11. Esegui sempre dei backup su almeno due diversi hard disk mantenuti in due posti diversi. E’ buona pratica sostituire spesso questi hard disk con alcuni più nuovi e imparare come criptare al 100% le informazioni contenute (nel caso in cui andassero perduti o rubati).

12. Cambia regolarmente la tua password, ovunque, a distanza di pochi mesi dall’ultimo cambio. Sembra un compito molto impegnativo o noioso, ma i password manager migliori hanno delle features che riescono ad effettuare questi cambi in modo molto agevole. Inoltre, se davvero sei arrivato a questo punto della lettura, stai effetivamente considerando l’idea di usare POCHI siti internet.

13. Non salvare MAI le tue password online (cloud). I dati delle tue password non dovrebbero mai lasciare il tuo computer.

14. Non utilizzare Outlook e altri software per la gestione della posta elettronica. Sono spesso un incubo dal punto di vista della sicurezza. Utilizza l’interfaccia web del tuo provider.

15. Per quanto possa sembrare orwelliano, copri le video camere dei tuo device. TUTTE. Smartphone o laptop poco importa. E’ possibile che tu venga sorvegliato 24/7 e non avere con te il tuo cellulare se vuoi avere una conversazione privata con qualcuno. Anche la “modalità aereo” può essere aggirata. E’ anche probabile che i dati vengano salvati e inviati successivamente quando una connessione a internet (WiFi) viene abilitata.

16. Educa le persone se puoi, e informale di quanto importante sia questo problema. Prenderne coscienza è sempre il primo passo, e porterà più persone a lavorare per assicurare maggiore sicurezza e privacy.

17. Evita di utilizzare Windows e OSX, se puoi. Solo un sistema operativo Open-Source è ragionevolmente sicuro da questo punto di vista. Ci sono tante distribuzioni Linux facili e comode da utilizzare. Sarebbe bene formattare il proprio pc e installare uno di questi sistemi operativi e password manager, con una master password molto forte.

18. Sposta i dati privati dal tuo smartphone verso la tua unità di memoria fisica esterna. Ogni dato sul tuo smartphone è potenzialmente in possesso di questi brutti ceffi. Foto di te o dei tuoi amici non dovrebbero MAI essere su un dispositivo collegato ad internet. E smettila di fare foto col tuo dannatissimo telefono.

19. Se hai una SmartTV, scollegala da internet.

20. L’unico dato sicuro è quello che non hai creato. Parla di persona, scrivi delle lettere e consegnale di persona se non ti fidi delle Poste. Sarà molto diverso (e migliore) rispetto ad un messaggio su Whatsapp.

Buon divertimento.

Credits go to my CTO.