Alfonso Maruccia

DROWN, nuovo attacco contro le connessioni sicure

Identificata una nuova minaccia contro i server HTTPS, un problema che si potrebbe risolvere con facilità ma che al momento coinvolge un gran numero di siti e servizi Web apparentemente "sicuri"

Roma - Il nuovo caso di insicurezza informatica distribuita si chiama DROWN, coinvolge milioni di siti Web con connessioni HTTPS e prende ancora una volta di mira i sistemi crittografici già da tempo classificati come insicuri. Oltre alle patch, risolvere la questione alla radice si può: basta disabilitare SSLv2.

Il protocollo di sicurezza Secure Sockets Layer è universalmente considerato come insicuro, e gli esperti consigliano da anni di disabilitarlo a favore del più moderno e robusto TLS; DROWN sfrutta l'insicurezza di SSLv2 sondando i server potenzialmente vulnerabili, forzando poi le comunicazioni tra client e server a fare uso di SSL per bypassare le chiavi crittografiche RSA.

Una volta forzato il downgrade da TLS a SSLv2 un cyber-criminale potrebbe a quel punto rubare informazioni sensibili o riservate, condurre ulteriori attacchi di tipo man-in-the-middle e altro ancora. Il numero di server vulnerabili è calcolato in più di 11 milioni, circa un terzo di tutte le connessioni HTTPS.
Lo sfruttamento nel nuovo bug di SSLv2 non è banale, e potrebbe in ogni caso essere completamente neutralizzato disabilitando il protocollo insicuro su tutti i server appartenenti a una stessa rete accessibile via Internet. SSL andrebbe disabilitato in ogni caso, avvertono gli esperti.

E se la modifica della configurazione di rete non basta, le patch sono già arrivate (o sono in arrivo) per chiudere l'ennesima falla sulle librerie OpenSSL, i sistemi operativi open source (Red Hat, Canonical, SUSE Linux) e tutto quanto. Il CDN Cloudflare tiene a comunicare di non essere vulnerabile visto che non fa uso di SSLv2.

Alfonso Maruccia
Notizie collegate
  • SicurezzaOpenSSL, bug critico di giornataI ricercatori identificano l'ennesimo bug critico di OpenSSL, libreria vitale e super-bucata per le comunicazioni sicure su canali HTTP. Il rischio, in questo caso, non è a livello di Heartbleed
  • SicurezzaRete cifrata, Rete bucataEnnesimo attacco che prende di mira le comunicazioni SSL/TLS: anche in questo caso si parla di vulnerabilità di lunga data contro algoritmi oramai obsoleti. Google, nel mentre, deve fare i conti con i soliti certificati non autentici
  • SicurezzaOpenSSL, update col brividoL'atteso aggiornamento della tanto chiacchierata libreria SSL open source faceva temere una falla potenzialmente devastante. L'allarme è rientrato: il baco si limita a mandare in crash i server
6 Commenti alla Notizia DROWN, nuovo attacco contro le connessioni sicure
Ordina