Alfonso Maruccia

POODLE e SSL 3.0, insicurezza da cani

Tecnici Google rivelano l'esistenza di una nuova, pericolosa falla all'interno del protocollo. Una tecnologia vecchia di tre lustri e che a quanto pare andrÓ presto definitivamente in pensione

POODLE e SSL 3.0, insicurezza da caniRoma - La settimana nera per la sicurezza informatica continua con POODLE (Padding Oracle On Downgraded Legacy Encryption), un bug svelato dai ricercatori di Google che affligge il protocollo SSL 3.0. Un protocollo antico, in termini tecnologici, ma ancora largamente supportato da browser e software di rete per ragioni di mera retro-compatibilità.

SSL 3.0 è "un protocollo obsoleto e insicuro", esordiscono i tre "Google man" nella loro ricerca, che risulta ampiamente superato dalle tecnologie crittografiche per le connessioni sicure più recenti come TLS 1.0, TLS 1.1 e TLS 1.2. Ma anche le più recenti implementazioni di TLS risultano retrocompatibili con SSL 3.0, spiega la ricerca, e il meccanismo di handshake tra client e server fa si che la negoziazione per il protocollo da usare possa andare (letteralmente) all'indietro fino ad adottare il protocollo incriminato.

Sfruttando l'attacco già noto alle cronache informatiche come BEAST, un malintenzionato potrebbe quindi costringere il browser dell'utente a fare uso di SSL 3.0 e arrivare a intercettare, in chiaro, tutte le comunicazioni e i dati scambiati tra client e server a discapito dell'utilizzo di una connessione sicura su HTTPS.
POODLE (letteralmente "barboncino", in italiano) prende di mira gli stessi problemi nel protocollo SSL coinvolti nel "cataclisma" di (in)sicurezza noto come Heartbleed, anche se i rischi dovrebbero essere minori e sembrano comunque destinati a sparire del tutto in tempi relativamente rapidi.

Del bug POODLE sono infatti consapevoli i principali attori del mercato telematico, con Google che raccomanda agli admin il supporto al meccanismo TLS_FALLBACK_SCSV (in grado di eliminare il rischio di downgrade del protocollo fino a SSL 3.0) e promette di eliminare SSL 3.0 da tutti i suoi prodotti, Microsoft che consiglia di disabilitare il protocollo fallato nelle policy di Gruppo su Windows, Mozilla che intende eliminare il supporto a SSL 3.0 quanto prima è possibile e CloudFlare che ha già disabilitato il (raramente utilizzato) protocollo per tutti i clienti del suo network di CDN.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSSL, problemi bestialiDue ricercatori sostengono di aver realizzato un attacco in grado di mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS. Una faccenda seria, avvertono, che si risolve solo con un aggiornamento complessivo del software in uso
  • SicurezzaOpenSSL, nuova policy per la disclosureGli sviluppatori della discussa libreria di sicurezza aggiornano la policy per la pubblicazione di falle e bugfix, annunciando un trattamento di riguardo per chi realizza e mantiene distro Linux. Ma solo nei casi di bug pi¨ gravi
  • SicurezzaCloudFlare propone connessioni SSL per tuttiLa societÓ annuncia un nuovo servizio di connessioni sicure "universale". Disponibile anche gratuitamente. Un contributo per migliorare sensibilmente la sicurezza degli utenti su Internet
  • AttualitàIl worm russo all'attacco dello 0-day di WindowsI ricercatori scoprono una pericolosa vulnerabilitÓ nei sistemi Microsoft. GiÓ sfruttata per attaccare organizzazioni come la Nato e aziende occidentali. Una patch dovrebbe essere in arrivo
15 Commenti alla Notizia POODLE e SSL 3.0, insicurezza da cani
Ordina