DROWN, nuovo attacco contro le connessioni sicure

Identificata una nuova minaccia contro i server HTTPS, un problema che si potrebbe risolvere con facilità ma che al momento coinvolge un gran numero di siti e servizi Web apparentemente "sicuri"

Roma – Il nuovo caso di insicurezza informatica distribuita si chiama DROWN , coinvolge milioni di siti Web con connessioni HTTPS e prende ancora una volta di mira i sistemi crittografici già da tempo classificati come insicuri. Oltre alle patch, risolvere la questione alla radice si può: basta disabilitare SSLv2.

Il protocollo di sicurezza Secure Sockets Layer è universalmente considerato come insicuro, e gli esperti consigliano da anni di disabilitarlo a favore del più moderno e robusto TLS; DROWN sfrutta l’insicurezza di SSLv2 sondando i server potenzialmente vulnerabili, forzando poi le comunicazioni tra client e server a fare uso di SSL per bypassare le chiavi crittografiche RSA.

Una volta forzato il downgrade da TLS a SSLv2 un cyber-criminale potrebbe a quel punto rubare informazioni sensibili o riservate, condurre ulteriori attacchi di tipo man-in-the-middle e altro ancora. Il numero di server vulnerabili è calcolato in più di 11 milioni, circa un terzo di tutte le connessioni HTTPS.

Lo sfruttamento nel nuovo bug di SSLv2 non è banale , e potrebbe in ogni caso essere completamente neutralizzato disabilitando il protocollo insicuro su tutti i server appartenenti a una stessa rete accessibile via Internet. SSL andrebbe disabilitato in ogni caso, avvertono gli esperti.

E se la modifica della configurazione di rete non basta, le patch sono già arrivate (o sono in arrivo) per chiudere l’ennesima falla sulle librerie OpenSSL, i sistemi operativi open source (Red Hat, Canonical, SUSE Linux) e tutto quanto. Il CDN Cloudflare tiene a comunicare di non essere vulnerabile visto che non fa uso di SSLv2.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • tetretert scrive:
    idiot nation
    Italia: il paese delle regolamentazioni.Abbiamo una quantità di leggi, usi e regolamenti pari a quella dei paesi di mezza europa riuniti.Che nazione di XXXXXXXXX.
    • surricone scrive:
      Re: idiot nation
      Già, un paese ingessato.Ed ogni legge e regolamento richiede burocrazia e controllo, e tutti i relativi costi li paga l'XXXXXXXXX cittadino che da una parte reclama a gran voce tutele sempre crescenti e normazione di ogni cosa, mentre dall'altra si lamenta delle tasse. dell'inefficienza pubblica, della difficoltà a fare qualunque cosa e del fatto di dover fare richieste ai pubblici uffici per ogni cosa.
Chiudi i commenti