DROWN, nuovo attacco contro le connessioni sicure

DROWN, nuovo attacco contro le connessioni sicure

Identificata una nuova minaccia contro i server HTTPS, un problema che si potrebbe risolvere con facilità ma che al momento coinvolge un gran numero di siti e servizi Web apparentemente "sicuri"
Identificata una nuova minaccia contro i server HTTPS, un problema che si potrebbe risolvere con facilità ma che al momento coinvolge un gran numero di siti e servizi Web apparentemente "sicuri"

Il nuovo caso di insicurezza informatica distribuita si chiama DROWN , coinvolge milioni di siti Web con connessioni HTTPS e prende ancora una volta di mira i sistemi crittografici già da tempo classificati come insicuri. Oltre alle patch, risolvere la questione alla radice si può: basta disabilitare SSLv2.

Il protocollo di sicurezza Secure Sockets Layer è universalmente considerato come insicuro, e gli esperti consigliano da anni di disabilitarlo a favore del più moderno e robusto TLS; DROWN sfrutta l’insicurezza di SSLv2 sondando i server potenzialmente vulnerabili, forzando poi le comunicazioni tra client e server a fare uso di SSL per bypassare le chiavi crittografiche RSA.

Una volta forzato il downgrade da TLS a SSLv2 un cyber-criminale potrebbe a quel punto rubare informazioni sensibili o riservate, condurre ulteriori attacchi di tipo man-in-the-middle e altro ancora. Il numero di server vulnerabili è calcolato in più di 11 milioni, circa un terzo di tutte le connessioni HTTPS.

Lo sfruttamento nel nuovo bug di SSLv2 non è banale , e potrebbe in ogni caso essere completamente neutralizzato disabilitando il protocollo insicuro su tutti i server appartenenti a una stessa rete accessibile via Internet. SSL andrebbe disabilitato in ogni caso, avvertono gli esperti.

E se la modifica della configurazione di rete non basta, le patch sono già arrivate (o sono in arrivo) per chiudere l’ennesima falla sulle librerie OpenSSL, i sistemi operativi open source (Red Hat, Canonical, SUSE Linux) e tutto quanto. Il CDN Cloudflare tiene a comunicare di non essere vulnerabile visto che non fa uso di SSLv2.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 mar 2016
Link copiato negli appunti