Alfonso Maruccia

L'insicurezza nelle comunicazioni sicure

Microsoft rilascia in tutta fretta un aggiornamento pensato per revocare un certificato SSL compromesso, mentre le aziende IT continuano a fare i conti con gli attacchi FREAK. Anche OpenSSL corregge bachi, quali ancora non si sa.

Roma - Microsoft ha distribuito un aggiornamento fuori programma per revocare un certificato SSL compromesso, certificato rilasciato dalla CA (Certificate Authority) Comodo per il dominio live.fi e potenzialmente sfruttabile per attacchi di tipo man-in-the-middle.

L'update elimina il certificato dalla lista CTL (Certificate Trust List) integrata sui sistemi Windows attualmente supportati, fatto che dovrebbe migliorare la sicurezza per i browser Web e i software che ne fanno uso. Programmi come Mozilla Firefox utilizzano invece una lista diversa e non dovrebbero quindi essere coinvolti nel problema.

Il certificato fasullo è stato registrato nel recente passato da un ignoto lavoratore IT di nazionalità finlandese, il quale si era accorto della possibilità di acquisire il controllo sul dominio live.fi tramite un indirizzo email hostmaster@live.fi. L'uomo ha immediatamente avvertito le autorità finlandesi e la stessa Microsoft dell'esistenza del problema, senza però ricevere alcuna risposta diretta.
Le comunicazioni telematiche si prestano a un numero inesorabilmente in crescita di rischi di (in)sicurezza con o senza il contributo diretto delle aziende di settore: anche i problemi collegati alla vulnerabilità nota come FREAK sono tutto fuorché scomparsi, con i ricercatori che hanno scoperto nuove opportunità di exploit ancora più facili da mettere in pratica. A fare i conti con FREAK è anche BlackBerry, che riferisce dell'esistenza della vulnerabilità in alcuni dei suoi prodotti software (BB 10 e 7.1, BB Messenger e altri) e promette l'arrivo di patch correttive. Peggiore è la situazione di Cisco, che tra i prodotti vulnerabili conta un gran numero di software, router, firewall e parecchie altre cose; le indagini sono ancora in corso, gli update arriveranno - prima o poi.

Il rischio FREAK dovrebbe essere infine superato per OpenSSL, anche se gli sviluppatori della celebre libreria crittografica non dormono certo sugli allori e preparano un aggiornamento in arrivo entro i prossimi giorni: le nuove release (1.0.2a, 1.0.1m, 1.0.0r e 0.9.8zf) chiuderanno "alcuni" bug di sicurezza, dice il team.

Alfonso Maruccia
Notizie collegate
3 Commenti alla Notizia L'insicurezza nelle comunicazioni sicure
Ordina