Il nuovo caso di insicurezza informatica distribuita si chiama DROWN , coinvolge milioni di siti Web con connessioni HTTPS e prende ancora una volta di mira i sistemi crittografici già da tempo classificati come insicuri. Oltre alle patch, risolvere la questione alla radice si può: basta disabilitare SSLv2.
Il protocollo di sicurezza Secure Sockets Layer è universalmente considerato come insicuro, e gli esperti consigliano da anni di disabilitarlo a favore del più moderno e robusto TLS; DROWN sfrutta l’insicurezza di SSLv2 sondando i server potenzialmente vulnerabili, forzando poi le comunicazioni tra client e server a fare uso di SSL per bypassare le chiavi crittografiche RSA.
Una volta forzato il downgrade da TLS a SSLv2 un cyber-criminale potrebbe a quel punto rubare informazioni sensibili o riservate, condurre ulteriori attacchi di tipo man-in-the-middle e altro ancora. Il numero di server vulnerabili è calcolato in più di 11 milioni, circa un terzo di tutte le connessioni HTTPS.
Lo sfruttamento nel nuovo bug di SSLv2 non è banale , e potrebbe in ogni caso essere completamente neutralizzato disabilitando il protocollo insicuro su tutti i server appartenenti a una stessa rete accessibile via Internet. SSL andrebbe disabilitato in ogni caso, avvertono gli esperti.
E se la modifica della configurazione di rete non basta, le patch sono già arrivate (o sono in arrivo) per chiudere l’ennesima falla sulle librerie OpenSSL, i sistemi operativi open source (Red Hat, Canonical, SUSE Linux) e tutto quanto. Il CDN Cloudflare tiene a comunicare di non essere vulnerabile visto che non fa uso di SSLv2.
Alfonso Maruccia