{"id":38188,"date":"2014-04-17T20:37:11","date_gmt":"2014-04-17T20:37:11","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=38188"},"modified":"2017-06-09T14:37:34","modified_gmt":"2017-06-09T13:37:34","slug":"heartbleed-falla-difendersi-webmaster-utenti","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/heartbleed-falla-difendersi-webmaster-utenti\/38188\/","title":{"rendered":"Heartbleed. Come difendersi dalla falla (per webmaster e utenti)"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f6f73a6b62d\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f6f73a6b62d\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/heartbleed-falla-difendersi-webmaster-utenti\/38188\/#Heartbleed_La_guida_per_aggiornare_e_proteggere_i_siti_web\" >Heartbleed. La guida per aggiornare e proteggere i siti web<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/heartbleed-falla-difendersi-webmaster-utenti\/38188\/#Cosa_possono_e_devono_fare_gli_utenti\" >Cosa possono (e devono) fare gli utenti<\/a><\/li><\/ul><\/nav><\/div>\n<p>La scoperta del bug Heartbleed ha generato un&#8217;autentica mobilitazione della Rete: negli ultimi giorni <strong>webmaster, amministratori di siti, analisti e utenti si sono ritrovati a fronteggiare una delle vulnerabilit\u00e0 pi\u00f9 rilevanti della storia informatica<\/strong>. Un vero e proprio bagno di sangue per la privacy di milioni di persone nel mondo, capace di coinvolgere <strong>circa il 65% dei server<\/strong> esistenti a livello globale che si sono rivelati, improvvisamente, ad alto rischio per la riservatezza dei dati contenuti.<\/p>\n<p>Le regole di base, fondamentalmente, prevedono per gli utenti il reset di tutte le credenziali di autenticazione per siti web, social network, posta elettronica, home banking, circuiti di pagamento. Operazioni da effettuare per\u00f2 solo a seguito dell&#8217;aggiornamento dei certificati di sicurezza dei siti vulnerabili a Heartbleed: ed \u00e8 qui che entra in scena il ruolo fondamentale di webmaster e amministratori di sistema.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Heartbleed_La_guida_per_aggiornare_e_proteggere_i_siti_web\"><\/span><b><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38190\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/04\/webmaster1-300x174.jpg\" alt=\"\" width=\"300\" height=\"174\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/webmaster1-300x174.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/webmaster1.jpg 346w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/b>Heartbleed. La guida per aggiornare e proteggere i siti web<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<ol>\n<li>In qualit\u00e0 di webmaster e amministratori server, la primissima operazione da compiere \u00e8\u00a0ricompilare il codice libreria OpenSSL\u00a0<strong>escludendo l&#8217;opzione heartbeats<\/strong>\u00a0e attivando la flag DOPENSSL_NO_HEARTBEATS.<\/li>\n<\/ol>\n<p>2 &#8211; In questo modo la funzione alla base della vulnerabilit\u00e0 viene completamente disabilitata e il sistema non pu\u00f2 essere attaccato. Ora con pi\u00f9 calma, \u00e8 possibile procedere alla soluzione del problema.\u00a0La seconda azione concreta consiste nel verificare la propria versione OpenSSL in quanto:<\/p>\n<ul>\n<li>OpenSSL 1.0.1 fino alla 1.0.1f (inclusa) sono vulnerabili<\/li>\n<li>OpenSSL 1.0.1g non \u00e8 vulnerabile<\/li>\n<li>OpenSSL 1.0.0\u00a0non \u00e8 vulnerabile<\/li>\n<li>OpenSSL 0.9.8\u00a0non \u00e8 vulnerabile<\/li>\n<\/ul>\n<p>Come contro-prova \u00e8 possibile testare il dominio utilizzando il\u00a0<strong><a href=\"http:\/\/filippo.io\/Heartbleed\/\">sistema di diagnostica<\/a><\/strong>\u00a0messo a disposizione dal programmatore italiano Filippo Valsorda, che analizza il sito e ne verifica la vulnerabilit\u00e0.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-full wp-image-38195\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/04\/webmaster6.jpg\" alt=\"\" width=\"261\" height=\"239\" \/>3 &#8211; Nel caso in cui foste vulnerabili l&#8217;operazione\u00a0da compiere consiste nell&#8217;<a href=\"https:\/\/www.openssl.org\/source\/\"><strong>effettuare l&#8217;update all&#8217;ultima versione di OpenSSL<\/strong><\/a>, la 1.0.1g o successiva, che contiene la patch di sicurezza.<\/p>\n<p>4 &#8211; Nonostante questo \u00e8 necessario eseguire altre operazioni fondamentali, senza le quali l&#8217;update non basta. E&#8217; prioritario <strong>generare una nuova chiave privata<\/strong> in quanto la sicurezza della vecchia potrebbe essere stata compromessa dal bug.<\/p>\n<p>La chiave (RSA o DSA, a seconda delle esigenze) pu\u00f2 essere creata direttamente attraverso l&#8217;interfaccia di comando OpenSSL seguendo le istruzioni della<strong><a href=\"http:\/\/www.openssl.org\/docs\/HOWTO\/keys.txt\"> guida<\/a> <\/strong>pubblicata da OpenSSL.<\/p>\n<p>5 &#8211;<strong style=\"line-height: 1.5em;\"> Ottenuto il CSR, dobbiamo revocare <strong>tutti i vecchi certificati digitali, e richiederne di nuovi all&#8217;autorit\u00e0 preposta.<\/strong><\/strong><span style=\"line-height: 1.5em;\">\u00a0L&#8217;operazione pu\u00f2 teoricamente comportare un piccolo pagamento, ma a<\/span>lcune autorit\u00e0, come <strong><a href=\"https:\/\/www.trustitalia.it\/site\/news_css\/0127\/Bug-Heartbleed:-revoca-e-riemissione-gratuita.html\">Trust Italia<\/a><\/strong>, hanno scelto di consentire gratuitamente ai propri clienti di <b>effettuare la revoca e la riemissione certificati SSL a rischio<\/b> offrendo un aiuto concreto nella battaglia contro Heartbleed.<\/p>\n<p>6 &#8211; Terminate queste operazioni \u00e8 buona norma <strong>avvisare i propri utenti proponendogli un cambio di username e password,<\/strong> ricordando che anche le loro credenziali potrebbero essere state intercettate negli ultimi 24 mesi e archiviate da terzi all&#8217;insaputa dei relativi proprietari.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Cosa_possono_e_devono_fare_gli_utenti\"><\/span><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38191\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/04\/webmaster2-300x168.jpg\" alt=\"\" width=\"300\" height=\"168\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/webmaster2-300x168.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/webmaster2-320x180.jpg 320w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/webmaster2-90x50.jpg 90w, https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/webmaster2.jpg 390w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/>Cosa possono (e devono) fare gli utenti<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Partiamo con una nota dolente: nei 24 mesi in cui il bug Heartbleed \u00e8 rimasto attivo, ad oggi \u00e8 possibile fare ben poco per contrastare eventuali furti di dati e credenziali.<\/p>\n<p>1- La prima cosa da <strong>verificare \u00e8 se i siti abitualmente frequentati risultano (o sono risultati) vulnerabili alla falla<\/strong>.\u00a0Mashable ha raccolto <strong><a href=\"http:\/\/mashable.com\/2014\/04\/09\/heartbleed-bug-websites-affected\/\">una lista<\/a><\/strong> in continuo aggiornamento di tutti i comunicati rilasciati dai portali o dai servizi web affetti da Heartbleed.\u00a0I nomi sono celebri e di largo uso a livello globale: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist e molti altri ancora.<\/p>\n<p>Pu\u00f2 essere utile, in caso di dubbio, utilizzare uno dei tanti strumenti di verifica rilasciati sul web in queste ore:<br \/>\n&#8211;<strong> <a href=\"http:\/\/possible.lv\/tools\/hb\/\" target=\"_blank\">Possible.lv heartbleed test<\/a><\/strong><br \/>\n<strong> &#8211; <a href=\"http:\/\/filippo.io\/Heartbleed\/\" target=\"_blank\">Filippo Heartbleed test<\/a><\/strong><br \/>\n<strong> &#8211; <a href=\"https:\/\/lastpass.com\/heartbleed\/\" target=\"_blank\">LastPass Heartbleed checker<\/a><\/strong><br \/>\n<strong> &#8211; Test McAfee<\/strong><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-38193\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2014\/04\/webmaster4-300x242.jpg\" alt=\"\" width=\"300\" height=\"242\" \/>2- Appurato che il sito o il server abitualmente utilizzato ha effettivamente aggiornato alla nuova versione di OpenSSL e quindi risolto il bug, sar\u00e0 necessario <strong>verificare il certificato del sito e assicurarsi che questi venga utilizzato<\/strong> (accertarsi, quindi, di non utilizzare nuovamente i vecchi certificati a rischio).<\/p>\n<p>A seconda del browser in uso \u00e8 possibile verificare la versione del certificato e la data di rilascio: questa, in particolare, dovr\u00e0 essere coincidente o successiva all&#8217;8 aprile 2014: eventuali versioni antecedenti dovranno essere revocate con l&#8217;apposito tasto.<\/p>\n<p>3- Una volta &#8220;ordinato&#8221; al browser di non utilizzare vecchi certificati, \u00e8 necessario <strong>aggiornare username e password<\/strong>. A questo punto valgono le consuete regole per la scelta di credenziali robuste e ragionevolmente sicure: parole di almeno 8 lettere, caratteri alfanumerici, alternanza di maiuscole e minuscole o di segni di punteggiatura, evitare nomi o date riconducibili alla propria persona o a familiari, preferire parole di fantasia.<\/p>\n<p>Per incrementare la sicurezza, \u00e8 possibile modificare la password a intervalli regolari nell&#8217;arco dei prossimi 3 mesi: una procedura che aumenter\u00e0 ulteriormente la propria sicurezza nel caso in cui le credenziali fossero finite effettivamente nelle mani sbagliate.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La scoperta del bug Heartbleed ha generato un&#8217;autentica mobilitazione della Rete: negli ultimi giorni webmaster, amministratori di siti, analisti e utenti si sono ritrovati a fronteggiare una delle vulnerabilit\u00e0 pi\u00f9 rilevanti della storia informatica. Un vero e proprio bagno di sangue per la privacy di milioni di persone nel mondo, capace di coinvolgere circa il [&hellip;]<\/p>\n","protected":false},"author":13,"featured_media":38194,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387],"tags":[],"class_list":{"0":"post-38188","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2014\/04\/webmaster5.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/38188","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=38188"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/38188\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/38194"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=38188"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=38188"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=38188"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}