Non c’è pace per SSL e TLS, i protocolli per le comunicazioni “sicure” su canale HTTPS da cui emergono continuamente nuovi bug di sicurezza o veri e propri disastri potenziali del calibro di Heartbleed , POODLE e affini. L’ultimo problema in ordine di tempo si chiama FREAK , e rappresenta la conseguenza diretta delle decisioni scellerate prese dagli USA in materia di crittografia negli anni ’90.
FREAK è un attacco alle comunicazioni SSL in grado di sfruttare una vulnerabilità classificata come CVE-2015-0204 , un meccanismo con cui un malintenzionato può obbligare un server ad accettare una chiave crittografica debole e poi spendere un centinaio di dollari sul computing distribuito di Amazon (AWS) per crackare la suddetta chiave nel giro di poche ore.
Una volta compromessa la chiave crittografica, il criminale può impersonare un sito Web vulnerabile e condurre attacchi di tipo man-in-the-middle nei confronti dell’utente, dei suoi dati e di qualsiasi altra cosa passi per la connessione messa sotto controllo.
Un problema come FREAK rappresenta l’effetto diretto della messa al bando delle tecnologie crittografiche “forti” imposta dagli States, un modo per garantire all’intelligence (cioè la solita NSA) una scappatoia con la possibilità di compromettere le chiavi in tempi ragionevoli in caso di necessità. Il bando è stato poi rimosso, ma le decisioni governative hanno costretto il mercato tecnologico ad adottare un livello di sicurezza inferiore che perdura tuttora online per questione di mera compatibilità.
NSA, il cui sito pubblico viene incidentalmente elencato tra quelli vulnerabili a FREAK, aveva fissato il massimo della risoluzione per le chiavi crittografiche in 512-bit, un livello di protezione considerato accettabile negli anni ’90 ma che oggi risulta insufficiente vista la disponibilità di potenze di calcolo enormemente superiori e accessibili quasi a chiunque.
FREAK evidenzia ancora una volta come indebolire le protezioni crittografiche per ragioni di stato non convenga a nessuno , ed abbia effetti pericolosi (o potenzialmente disastrosi) destinati a persistere nei decenni successivi. Nel caso del nuovo attacco contro SSL, l’azienda di CDN Akamai dice di aver aggiornato i sistemi così come patch correttive sono in arrivo per Safari di Apple e per Chrome dedicato ad Android.
Alfonso Maruccia