Bug Heartbleed, dati a rischio per il 66% dei siti web https

Redazione di Hardware Upg · 09-04-2014, 08:57

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...tps_index.html

Le fonti internazionali parlano di una delle vulnerabilità più pericolose della storia dell'informatica, e con ottime ragioni: a rischio sono tutti i dati passati attraverso protocollo HTTPS, se la versione implementata di OpenSSL era nella versione 1.0.1 fino alla versione f

Click sul link per visualizzare l'articolo.

songohan · 09-04-2014, 10:31

Purtroppo e' inutile girarci intorno.
La sicurezza online NON esiste.
Chi ha un interesse maggiore della spesa nel craccare un sistema, lo fara'. Altrimenti no.

Giulio.

Dun · 09-04-2014, 10:56

Quote:

Da mettere in conto, per gli utenti, un cambio completo delle password, anche se è meglio aspettare ancora un po' affinché chi non ha ancora aggiornato OpenSSL alla versione 1.0.1f lo faccia, altrimenti non serve a nulla.

Errato. Bisogna anche aspettare che chi amministri il server richieda un nuovo certificato utilizzando una nuova chiave privata.

Saluti,
Stefano

piererentolo · 09-04-2014, 11:32

Cambiare tutte le password???
E' la volta buona che ne scelgo una per tutti gli account

gd350turbo · 09-04-2014, 11:37

E come facciamo a sapere, lato utente, che versione di openssl usa il server a cui ci colleghiamo ?

lorenzo.c · 09-04-2014, 11:58

Quote:

Originariamente inviato da gd350turbo

E come facciamo a sapere, lato utente, che versione di openssl usa il server a cui ci colleghiamo ?

Puoi testare se e' vulnerabile usando questo tool: http://filippo.io/Heartbleed/

LucaZPF · 09-04-2014, 12:20

Mega menata.
Dei siti che frequento ancora nessuno si è espresso in merito, magari consigliandomi di cambiare password...

dennyv · 09-04-2014, 12:36

Il 66% è un po' fuorviante. Diciamo che i sistemi mission critical sono, o dovrebbero, essere rimasti con il ramo 0.9.8 di OpenSSL. Ieri in tarda mattinata la maggior parte dei vendor nel mondo opensource avevano rilasciato aggiornamenti (RedHat, Canonical e le varie distro), anche vendor del calibro si Cisco si sono mossi.

La cosa che mi spaventa sono i software e firmware closed source. Chissà quanti usano OpenSSL, senza magari nemmeno citarlo nei credits, che mai riceveranno aggiornamenti.

lorenzo.c · 09-04-2014, 12:44

Quote:

Originariamente inviato da dennyv

Diciamo che i sistemi mission critical sono, o dovrebbero, essere rimasti con il ramo 0.9.8 di OpenSSL.

In teoria si, i rami oldstable sia di Debian che di CentOS sono sempre stati al sicuro. Le stable invece avevano dentro la versione buggata.

Quote:

Originariamente inviato da dennyv

La cosa che mi spaventa sono i software e firmware closed source. Chissà quanti usano OpenSSL, senza magari nemmeno citarlo nei credits, che mai riceveranno aggiornamenti.

Gia', dovro' tenere d'occhio pure le immagini dei vari router

gd350turbo · 09-04-2014, 13:15

Quote:

Originariamente inviato da lorenzo.c

Puoi testare se e' vulnerabile usando questo tool: http://filippo.io/Heartbleed/

Testando i vari siti che uso abitualmente che usano https, nessuno risulta vulnerabile !

Zifnab · 09-04-2014, 13:43

Quote:

Originariamente inviato da gd350turbo

Testando i vari siti che uso abitualmente che usano https, nessuno risulta vulnerabile !

Vero, ma probabilmente perchè tutte le aziende coinvolte avranno fatto l'upgrade stamattina appena saputo la notizia.

Quote:

Originariamente inviato da lorenzo.c

In teoria si, i rami oldstable sia di Debian che di CentOS sono sempre stati al sicuro. Le stable invece avevano dentro la versione buggata.

In effetti per una volta la pigrizia dei nostri sysadmins si è rivelata saggia

pincapobianco · 09-04-2014, 13:46

nooo

scopriranno tutte le mie amanti in giro per il web

lorenzo.c · 09-04-2014, 14:03

Quote:

Originariamente inviato da gd350turbo

Testando i vari siti che uso abitualmente che usano https, nessuno risulta vulnerabile !

Avranno aggiornato di recente... il problema e' quello che e' successo nei 2 anni in cui la falla era aperta.

gd350turbo · 09-04-2014, 14:04

Quote:

Originariamente inviato da lorenzo.c

Avranno aggiornato di recente... il problema e' quello che e' successo nei 2 anni in cui la falla era aperta.

Ah probabile...

Il problema è che non si può sapere se in questi due anni era chiusa o aperta !

misterfrederx · 09-04-2014, 22:36

Ahah terribile, della serie
If((decodekey(key) && valid(certificate) && isCorrect(password)) || (1==1))
Passthrough();
Else
print("accesso RIGOROSAMENTE bloccato furbacchione");

qiplayer · 10-04-2014, 00:40

Non c'è niente di meglio per un hacker se non informazioni di questo tipo. Braavi complimenti. Avete lavorato dietro stipendio per la sicurezza e una volta scoperta la falla l'avete condivisa. Maachebraaavii. Idiozie del nuovo millennio. C'era da fare un update e avvisare gli utenti banche e co che la versione attuale non è sicura PUNTO

maxmax80 · 10-04-2014, 01:54

"OpenSSL 1.0.1 è disponibile dal marzo del 2012, mentre la versione che risolve il problema è di due giorni fa. Come a dire che per due anni le transazioni sicure in realtà non lo sono state affatto, con tutte le potenziali conseguenze"

a mio avviso se fosse stata una vulnerabilità nota già in passato ne avremmo di certo già sentito parlare..

lorenzo.c · 10-04-2014, 04:35

Quote:

Originariamente inviato da misterfrederx

Ahah terribile, della serie
If((decodekey(key) && valid(certificate) && isCorrect(password)) || (1==1))
Passthrough();
Else
print("accesso RIGOROSAMENTE bloccato furbacchione");

Quasi

http://git.openssl.org/gitweb/?p=ope...diff;h=96db902

misterfrederx · 10-04-2014, 06:29

Quote:

Originariamente inviato da lorenzo.c

Quasi

http://git.openssl.org/gitweb/?p=ope...diff;h=96db902

Ah proprio "dimmi quanti byte vuoi leggere caro"

LucaZPF · 10-04-2014, 08:49

Invasione di nuovi certificati stamattina ...chissà come mai

09-04-2014, 11:32	#4
piererentolo Senior Member Iscritto dal: Sep 2007 Città: Laives Messaggi: 1545	Cambiare tutte le password??? E' la volta buona che ne scelgo una per tutti gli account __________________ Vi metto i miei gusti, almeno non ci sono fraintendimenti. AMD VS NVIDIA: Fanboy AMD - AMD VS INTEL: Simpatizzo AMD ma compro INTEL - ANDROID VS WP VS IOS: Fanboy ANDROID - XBOX VS PLAYSTATION VS NINTENDO: Fanboy NINTENDO ma ho l'XBOX - APPLE VS SAMSUNG: Fanboy SAMSUNG - BIONDE VS MORE VS ROSSE: Fanboy Rosse, ho sposato una mora ma l'obbligo a tingersi

09-04-2014, 12:20	#7
LucaZPF Senior Member Iscritto dal: Sep 2007 Città: ::1 Messaggi: 2406	Mega menata. Dei siti che frequento ancora nessuno si è espresso in merito, magari consigliandomi di cambiare password... __________________ Blog: luca.ninja* // STEAM: LucaZPF // [Thread tecnico] Grand Theft Auto V* PC 1 9800X3D - H100x - ASUS X870-I - 32GB 6000MHz CL28 - MSI 5080 3X OC - 9100 Pro 1TB - 990 Pro 4TB - SF1000 - NCASE M1 - G903 - Vortex Pok3r PC simrig 9800X3D - H100i - ASUS X870E Hero - 32GB 6000MHz CL 28 - MSI 5090 Ventus OC - 9100 Pro - HX1200i - 4000D - 3x LG 32GN63T

09-04-2014, 12:36	#8
dennyv Senior Member Iscritto dal: Sep 2003 Città: Bergamo Messaggi: 1176	Il 66% è un po' fuorviante. Diciamo che i sistemi mission critical sono, o dovrebbero, essere rimasti con il ramo 0.9.8 di OpenSSL. Ieri in tarda mattinata la maggior parte dei vendor nel mondo opensource avevano rilasciato aggiornamenti (RedHat, Canonical e le varie distro), anche vendor del calibro si Cisco si sono mossi. La cosa che mi spaventa sono i software e firmware closed source. Chissà quanti usano OpenSSL, senza magari nemmeno citarlo nei credits, che mai riceveranno aggiornamenti. __________________ VGA? No grazie, preferisco le SERIALI! http://daniele.vigano.me \| Home server HP Proliant MicroServer (Fedora 64bit) \| Notebook Dell Latitude E5450 (Fedora 64bit) \| Mobile Moto G3 GEM HPC Cluster Dell PowerEdge R720xd + R720 + R420 + M1000e + M915 (Ubuntu LTS 64bit) up to 1000 cores \| EATON UPS

10-04-2014, 08:49	#20
LucaZPF Senior Member Iscritto dal: Sep 2007 Città: ::1 Messaggi: 2406	Invasione di nuovi certificati stamattina ...chissà come mai __________________ Blog: luca.ninja* // STEAM: LucaZPF // [Thread tecnico] Grand Theft Auto V* PC 1 9800X3D - H100x - ASUS X870-I - 32GB 6000MHz CL28 - MSI 5080 3X OC - 9100 Pro 1TB - 990 Pro 4TB - SF1000 - NCASE M1 - G903 - Vortex Pok3r PC simrig 9800X3D - H100i - ASUS X870E Hero - 32GB 6000MHz CL 28 - MSI 5090 Ventus OC - 9100 Pro - HX1200i - 4000D - 3x LG 32GN63T

09-04-2014, 08:57	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link all'Articolo: http://www.hwupgrade.it/articoli/sic...tps_index.html Le fonti internazionali parlano di una delle vulnerabilità più pericolose della storia dell'informatica, e con ottime ragioni: a rischio sono tutti i dati passati attraverso protocollo HTTPS, se la versione implementata di OpenSSL era nella versione 1.0.1 fino alla versione f Click sul link per visualizzare l'articolo.

09-04-2014, 10:31	#2
songohan Bannato Iscritto dal: Mar 2003 Città: Roma Messaggi: 1904	Purtroppo e' inutile girarci intorno. La sicurezza online NON esiste. Chi ha un interesse maggiore della spesa nel craccare un sistema, lo fara'. Altrimenti no. Giulio.

09-04-2014, 11:37	#5
gd350turbo Senior Member Iscritto dal: Feb 2003 Città: Mo<->Bo Messaggi: 44464	E come facciamo a sapere, lato utente, che versione di openssl usa il server a cui ci colleghiamo ?

09-04-2014, 13:46	#12
pincapobianco Bannato Iscritto dal: Oct 2013 Messaggi: 235	nooo scopriranno tutte le mie amanti in giro per il web

09-04-2014, 22:36	#15
misterfrederx Junior Member Iscritto dal: Jul 2012 Messaggi: 27	Ahah terribile, della serie If((decodekey(key) && valid(certificate) && isCorrect(password)) \|\| (1==1)) Passthrough(); Else print("accesso RIGOROSAMENTE bloccato furbacchione");

10-04-2014, 00:40	#16
qiplayer Member Iscritto dal: Feb 2011 Messaggi: 170	Non c'è niente di meglio per un hacker se non informazioni di questo tipo. Braavi complimenti. Avete lavorato dietro stipendio per la sicurezza e una volta scoperta la falla l'avete condivisa. Maachebraaavii. Idiozie del nuovo millennio. C'era da fare un update e avvisare gli utenti banche e co che la versione attuale non è sicura PUNTO

10-04-2014, 01:54	#17
maxmax80 Senior Member Iscritto dal: Jan 2010 Città: Milan Messaggi: 9802	"OpenSSL 1.0.1 è disponibile dal marzo del 2012, mentre la versione che risolve il problema è di due giorni fa. Come a dire che per due anni le transazioni sicure in realtà non lo sono state affatto, con tutte le potenziali conseguenze" a mio avviso se fosse stata una vulnerabilità nota già in passato ne avremmo di certo già sentito parlare..

Strumenti
Mostra una versione stampabile Invia questa pagina per email