Cerca nel blog

2014/04/17

Heartbleed, altre info in breve

Se avete un telefonino Android, potreste essere vulnerabili a Heartbleed. Un modo efficace per saperlo è usare l'app Heartbleed Detector, disponibile gratuitamente su Google Play. Attenzione agli imitatori-sciacalli, che hanno creato app dai nomi molto simili. In italiano l'app giusta si chiama Heartbleed Sicurezza Scanner.

Anche le chiavi di OpenVPN possono essere intercettate tramite Heartbleed (Ars Technica).

È stato compiuto il primo arresto legato a Heartbleed. L'arrestato, un diciannovenne, aveva usato la vulnerabilità per violare la Canadian Revenue Agency (l'ente fiscale canadese).

Intego ha una FAQ per gli utenti Apple (Mac OS X e iOS).

Bloomberg dice di avere conferme che l'NSA sapeva di Heartbleed e lo ha sfruttato. L'NSA nega.

Forbes mette in evidenza il vero scandalo della questione Heartbleed: sono soltanto quattro i programmatori principali che si occupano della manutenzione e della verifica di OpenSSL, e uno solo di loro lo considera il proprio lavoro a tempo pieno.

13 commenti:

Ernesto Tomas ha detto...

ma non doveva essere vulnerabile solo Android < 4.1 ?
con S3 ho la versione 4.3, dici che dovrei fare un check con questo detector lo stesso ?

Wallygator® ha detto...

Scaricata e installata.
Mi da : "The version of OpenSSL on your device is affected by the Heartbleed bug (1.0.1c) "But the vulnerable behavior is not enabled"

Aggiornamenti per il S.O. non ne ho trovati. Posso stare ugualmente tranquillo?

Wallygator® ha detto...
Questo commento è stato eliminato dall'autore.
Larry ha detto...

E' l'open source bellezza! Come disse Linus a suo tempo, "se compila è ottimo, se si esegue è perfetto".

Claudia Brosio ha detto...

Grazieeee Paolo!

Claudia Brosio ha detto...

Grazie Paolo!!

Il Lupo della Luna ha detto...

Giunge a proposito questa riflessione di un sistemista: http://www.gpaterno.com/2014/04/16/lopen-source-dopo-heartbleed-riflessioni-a-cuore-aperto/

Conferma quanto pensavo io senza conoscere il mercato dell'IT e quanto dice Forbes.

Il Lupo della Luna ha detto...

Apprò, il mio xperia M è vulnerabile. Uffa.

Anonimo ha detto...

Oltre agli inevitabili bug, sembrerebbe che l'open source sia pieno
di infiltrati, di agenzie e di software house concorrenti.
In effetti pare poco credibile l'esistenza di programmatori che lavorano gratis 12 ore al giorno.

Luca_dai_pochi_commenti ha detto...

Ciao Paolo,

è davvero 'Heartbleed Detector' il nome dell'applicazione in lingua inglese? Il link porta a 'Heartbleed Security Scanner', che in effetti corrisponde alla versione italiana alla quale rimandi.

Grazie!

Fx ha detto...

Forbes avrà letto i commenti di qualcuno all'altro articolo di Paolo... Magari adesso ce la si farà ad accreditarmi qualche ragione (dopotutto i fatti mi cosano).

Paolo Attivissimo ha detto...

Luca,

può darsi che abbiano cambiato nome: nota che l'URL termina con "com.lookout.heartbleeddetector".

lufo88 ha detto...

"Forbes mette in evidenza il vero scandalo della questione Heartbleed: sono soltanto quattro i programmatori principali che si occupano della manutenzione e della verifica di OpenSSL, e uno solo di loro lo considera il proprio lavoro a tempo pieno."
Lo scandalo è relativo al fatto che le grandi aziende attingono a pieni mani dall'opensource, ma non per piccole librerie e pezzi di codice, ma per funzioni fondamentali dei loro prodotti e non pagano un centesimo. Questo è lo scandalo! In compenso molti software costano un sacco di denaro e fanno schifo.