skip to main | skip to sidebar
13 commenti

Heartbleed, altre info in breve

Se avete un telefonino Android, potreste essere vulnerabili a Heartbleed. Un modo efficace per saperlo è usare l'app Heartbleed Detector, disponibile gratuitamente su Google Play. Attenzione agli imitatori-sciacalli, che hanno creato app dai nomi molto simili. In italiano l'app giusta si chiama Heartbleed Sicurezza Scanner.

Anche le chiavi di OpenVPN possono essere intercettate tramite Heartbleed (Ars Technica).

È stato compiuto il primo arresto legato a Heartbleed. L'arrestato, un diciannovenne, aveva usato la vulnerabilità per violare la Canadian Revenue Agency (l'ente fiscale canadese).

Intego ha una FAQ per gli utenti Apple (Mac OS X e iOS).

Bloomberg dice di avere conferme che l'NSA sapeva di Heartbleed e lo ha sfruttato. L'NSA nega.

Forbes mette in evidenza il vero scandalo della questione Heartbleed: sono soltanto quattro i programmatori principali che si occupano della manutenzione e della verifica di OpenSSL, e uno solo di loro lo considera il proprio lavoro a tempo pieno.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
ma non doveva essere vulnerabile solo Android < 4.1 ?
con S3 ho la versione 4.3, dici che dovrei fare un check con questo detector lo stesso ?
Scaricata e installata.
Mi da : "The version of OpenSSL on your device is affected by the Heartbleed bug (1.0.1c) "But the vulnerable behavior is not enabled"

Aggiornamenti per il S.O. non ne ho trovati. Posso stare ugualmente tranquillo?
Questo commento è stato eliminato dall'autore.
E' l'open source bellezza! Come disse Linus a suo tempo, "se compila è ottimo, se si esegue è perfetto".
Grazieeee Paolo!
Grazie Paolo!!
Giunge a proposito questa riflessione di un sistemista: http://www.gpaterno.com/2014/04/16/lopen-source-dopo-heartbleed-riflessioni-a-cuore-aperto/

Conferma quanto pensavo io senza conoscere il mercato dell'IT e quanto dice Forbes.
Apprò, il mio xperia M è vulnerabile. Uffa.
Oltre agli inevitabili bug, sembrerebbe che l'open source sia pieno
di infiltrati, di agenzie e di software house concorrenti.
In effetti pare poco credibile l'esistenza di programmatori che lavorano gratis 12 ore al giorno.
Ciao Paolo,

è davvero 'Heartbleed Detector' il nome dell'applicazione in lingua inglese? Il link porta a 'Heartbleed Security Scanner', che in effetti corrisponde alla versione italiana alla quale rimandi.

Grazie!
Forbes avrà letto i commenti di qualcuno all'altro articolo di Paolo... Magari adesso ce la si farà ad accreditarmi qualche ragione (dopotutto i fatti mi cosano).
Luca,

può darsi che abbiano cambiato nome: nota che l'URL termina con "com.lookout.heartbleeddetector".
"Forbes mette in evidenza il vero scandalo della questione Heartbleed: sono soltanto quattro i programmatori principali che si occupano della manutenzione e della verifica di OpenSSL, e uno solo di loro lo considera il proprio lavoro a tempo pieno."
Lo scandalo è relativo al fatto che le grandi aziende attingono a pieni mani dall'opensource, ma non per piccole librerie e pezzi di codice, ma per funzioni fondamentali dei loro prodotti e non pagano un centesimo. Questo è lo scandalo! In compenso molti software costano un sacco di denaro e fanno schifo.