POODLE e SSL 3.0, insicurezza da cani

Tecnici Google rivelano l'esistenza di una nuova, pericolosa falla all'interno del protocollo. Una tecnologia vecchia di tre lustri e che a quanto pare andrà presto definitivamente in pensione
Tecnici Google rivelano l'esistenza di una nuova, pericolosa falla all'interno del protocollo. Una tecnologia vecchia di tre lustri e che a quanto pare andrà presto definitivamente in pensione

La settimana nera per la sicurezza informatica continua con POODLE ( Padding Oracle On Downgraded Legacy Encryption ), un bug svelato dai ricercatori di Google che affligge il protocollo SSL 3.0 . Un protocollo antico, in termini tecnologici, ma ancora largamente supportato da browser e software di rete per ragioni di mera retro-compatibilità.

SSL 3.0 è “un protocollo obsoleto e insicuro”, esordiscono i tre “Google man” nella loro ricerca , che risulta ampiamente superato dalle tecnologie crittografiche per le connessioni sicure più recenti come TLS 1.0, TLS 1.1 e TLS 1.2. Ma anche le più recenti implementazioni di TLS risultano retrocompatibili con SSL 3.0, spiega la ricerca, e il meccanismo di handshake tra client e server fa si che la negoziazione per il protocollo da usare possa andare (letteralmente) all’indietro fino ad adottare il protocollo incriminato.

Sfruttando l’attacco già noto alle cronache informatiche come BEAST , un malintenzionato potrebbe quindi costringere il browser dell’utente a fare uso di SSL 3.0 e arrivare a intercettare , in chiaro, tutte le comunicazioni e i dati scambiati tra client e server a discapito dell’utilizzo di una connessione sicura su HTTPS.

POODLE (letteralmente “barboncino”, in italiano) prende di mira gli stessi problemi nel protocollo SSL coinvolti nel “cataclisma” di (in)sicurezza noto come Heartbleed , anche se i rischi dovrebbero essere minori e sembrano comunque destinati a sparire del tutto in tempi relativamente rapidi.

Del bug POODLE sono infatti consapevoli i principali attori del mercato telematico, con Google che raccomanda agli admin il supporto al meccanismo TLS_FALLBACK_SCSV (in grado di eliminare il rischio di downgrade del protocollo fino a SSL 3.0) e promette di eliminare SSL 3.0 da tutti i suoi prodotti, Microsoft che consiglia di disabilitare il protocollo fallato nelle policy di Gruppo su Windows, Mozilla che intende eliminare il supporto a SSL 3.0 quanto prima è possibile e CloudFlare che ha già disabilitato il (raramente utilizzato) protocollo per tutti i clienti del suo network di CDN.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

15 10 2014
Link copiato negli appunti