Bug Heartbleed

Le Certification Authorities thawte, GeoTrust e Symantec sono consapevoli della vulnerabilità "Heartbleed" di OpenSSL e la stanno correntemente investigando. Questa permette a eventuali malintenzionati di leggere la memoria di sistema utilizzando versioni vulnerabili del software OpenSSL. Questo potrebbe compromettere la segretezza delle chiavi private, il che permetterebbe loro di decriptare e intercettare comunicazioni SSL criptate e di impersonare i service providers. In aggiunta, altri dati in memoria potrebbero essere compromessi, inclusi nomi e password di utenti o altri dati salvati in memoria dal servizio. Le Certification Authorities raccomandano:

Per le società:

  • Chiunque utilizzi OpenSSL dalla versione 1.0.1 alla 1.0.1f, aggiorni all'ultima versione con la correzione (1.0.1g), o ricompili OpenSSL senza l'estensione heartbeat. E' possibile verificare se si utilizza una versione vulnerabile anche tramite i seguenti tools:
  • Richieda la riemissione inviandoci un CSR generato con una nuova chiave privata e sostituisca il certificato sul server dopo l'aggiornamento alla versione sicura di OpenSSL.
  • Infine, come best practice, le società dovrebbero anche richiedere la revoca del certificato vecchio e considerare di reimpostare le password degli utenti finali che potrebbero essere state accessibili tramite la memoria di un server compromesso.

Per gli utenti finali:

  • Essere consapevoli che i propri dati potrebbero essere stati intercettati da una terza parte nel caso abbiano utilizzato un service provider vulnerabile.
  • Monitorare ogni comunicazione dai vendors utilizzati, e cambiare le password se questi raccomandano di farlo
  • Evitare potenziali email di phishing che chiedono di aggiornare la password – per evitare di utilizzare un website impersonato, basarsi sul dominio del sito ufficiale.