Heartbleed bug

[barsa90]

Qualcuno di voi è a conoscenza dell'heartbleed bug? Ho letto qualche articolo in inglese dato che in italiano non ce ne sono e affermano che questo bug, inerente alla libreria di crittografia OpenSSL, permetta a chiunque di rubare informazioni protette tramite la crittografia SSL/TLS.
Sembrerebbe che tutti quei server non aggiornati all'ultima versione di OpenSSL, con il bug corretto, siano vulnerabili a questi attacchi.

Questo sito sembra piuttosto credibile e da una spiegazione approfondita del problema:

[Ogliastrino]

Non ne sapevo nulla  ma da una semplice ricerca mi pare ci sia abbastanza anche in italiano:

http://www.wired.it/attualita/tech/2014/04/09/heartbleed-bug-sicurezza/

http://www.repubblica.it/tecnologia/2014/04/11/news/heartbleed_l_nsa_sapeva_del_bug_da_almeno_due_anni_la_falla_di_sicurezza_sfruttata_per_spionaggio_internazionale-83368940/

http://www.diregiovani.it/rubriche/fotogallery/30116-heartbleed-bug-che-cos-e-falla-sicurezza.dg

http://www.pcprofessionale.it/2014/04/11/heartbleed-bug-quando-bisogna-cambiare-la-password-anche-in-banca/

 

[Draco]

Si, è stato scoperto qualche settimana fa, ma molti dei siti interessati non hanno avvisato per evitare panico ...

Questa vignetta spiega il problema in modo abbastanza semplice ( evviva xkcd ), se pur in inglese:

[barsa90]

Uao... la vignetta spiega bene.
È una specie di risposta ping del server solo che vi allega delle info se le chiedete giusto?

[Draco]

Ehm, tipo.

Evitando di usare termini tecnici:

Non puoi richiedere informazioni specifiche, ricevi quello che c'è nei 64k di memoria dopo la "zona" nella quale il server ha memorizzato il tuo messaggio.
In questi 64k ci può essere qualsiasi cosa, di solito roba illeggibile e/o inutile, ma con un po di pazienza eventualmente otterresti informazioni compromettenti.

Altre info.

[barsa90]

ok grazie