11/04/2014
Gentili Clienti,
Vi segnaliamo una vulnerabilità del protocollo SSL, denominata "The Heartbleed bug".
Il Protocolo SSL http://it.wikipedia.org/wiki/OpenSSL è il servizio che permette la criptazione dei dati trasmessi
tra 2 utenti nella rete Internet.
Esempio, il Vs. computer e il sito della Vs. Banca oppure Facebook o altri Servizi.
>A significant flaw named the Heartbleed Bug has been discovered and poses a large security threat to the internet as a whole.
The Heartbleed bug is present in the software library OpenSSL which is used by many websites to privately send data to and from an internet server.
We encourage you to change your password, both on our website as well as any others that you use, as many services have been affected.
The Heartbleed bug has had a profound impact on the transmission of secure data throughout the Internet.
This vulnerability allows an attacker to read chunks of memory from servers and clients that connect using SSL through a flaw in OpenSSL's implementation of the heartbeat extension.
OpenSSL provides critical functionality in the internet ecosystem, and therefore vulnerabilities, such as Heartbleed, have a significant impact on digital communications and their integrity.
Non è dato sapere al momento la quantità e la natura dei dati che sono stati compromessi, è in corso un'attività a livello globale di aggiornamento dei componenti affetti da detta vulnerabilità
e di sostituzione dei Certificati SSL.
Tanto premesso Vi raccomandiamo di provvedere alla sostituzione immediata di qualsiasi password di accesso a servizi online,
password di accesso alle Vostre email e Social Network, come Facebook o qualsiasi altro, inclusi i
Provider di Servizi di Posta Elettronica come Yahoo, Microsoft, Google, Aol e altri.
Raccomnandiamo altresi in via generale a sostituire le password con frequenza almeno semestrale e di non usare la stessa password
per tutti i servizi utilizzati, recuisiti minimi: unica, casuale e complessa (A-z,1-0, #[/!).
> Please remember to always make your passwords unique, random, and periodically rotate them.
L'attività eseguita durante questo periodo di vulnerabilità non è ben nota, tantomeno rimane traccia in alcun log (archivio dei server), riteniamo probabile il verificarsi della problematica denominata "man in the middle" (uomo nel mezzo), cioè un interposta entità avrebbe potuto intercettare il Vs. traffico internet e aver carpito dati sensibili.
>Due to the nature of the vulnerability it is impossible to know what other information, including private keys, passwords, and session ID’s, has been compromised.
The attack occurs before a full connection to your server has been made, leaving no indications in any logs that an attack has occurred.
It is recommended that you regenerate all SSH keys and reset all passwords across the server.
Descrizione del problema che è definito "in progress", cioè in evoluzione e quindi le informazioni sono destinate ad essere modificate:
http://en.wikipedia.org/wiki/Heartbleed_bug
http://heartbleed.com/
http://en.wikipedia.org/wiki/Heartbleed
http://www.ansa.it/sito/notizie/tecnologia/internet_social/2014/04/10/heartbleed-siti-fanno-check-up-password_6a9697c2-64ec-4376-8228-3eba6447bc22.html
Abbiamo provveduto alla sospensione di numerosi account affetti da fenomi di SPAM in uscita dai ns. sistemi, il problema verrà facilmente risolto provvedendo alla sostituzione delle password degli account email e ove richiesto aggiornando scripts e plugins quando presenti.
I Server sicuri on line al momento devono rispondere nel seguente modo:
root@lupe [~] # rpm -q --changelog openssl | grep -B 1 CVE-2014-0160
* Mon Apr 07 2014 Tomáš Mráz 1.0.1e-16.7
- fix CVE-2014-0160 - information disclosure in TLS heartbeat extension
oppure
root@lupe [~] # openssl version
OpenSSL 1.0.1g 7 Apr 2014
Cordiali Saluti
OpenSSL è un'implementazioneopen source dei protocolli SSL e TLS. Le librerie di base (scritte in linguaggio C) eseguono le funzioni crittografiche principali. Nei diversi linguaggi di programmazione sono disponibili procedure che permettono di accedere alle funzioni della libreria OpenSSL.
