Dopo il caso della cosiddetta vulnerabilità “gotofail” dei software Apple, una nuova falla individuata in una popolare libreria di sicurezza open source solleva polemiche a alimenta ancora una volta il sospetto che ha monopolizzato la scena della sicurezza informatica nell’era post-Datagate: è un semplice baco o è una backdoor utile per lo spionaggio della NSA?
Svelata da un advisory RedHat , la falla è presente nella libreria GnuTLS e riguarda la gestione incorretta di certi operazioni durante il processo di verifica dei certificati di sicurezza X.509 (alla base dei protocolli TLS e SSL), processi che sotto certe condizioni potrebbe portare all’accettazione di un certificato come valido anche nel caso in cui sarebbe dovuto avvenire il contrario. Le conseguenze della falla sono presto dette: un malintenzionato o una “gang” di cyber-criminali potrebbe auto-firmarsi un certificato fasullo, sfruttando poi il baco per autenticarsi come attore sicuro senza la necessità di ricorrere a una CA (Certificate Authority) valida e compromettendo la sicurezza delle comunicazioni veicolate su protocollo SSL/TLS.
Si tratta in sostanza di un problema molto simile a quello emerso nei giorni scorsi per i software Apple, e le conseguenze in questo caso sono persino più gravi visto l’alto numero di software che si affida a GnuTLS: persino gli aggiornamenti distribuiti tramite apt-get potrebbero essere vulnerabili. Le ramificazioni di questa scoperta sono molteplici, e occorrerà del tempo per stabilire con esattezza quale sia la portata: in taluni casi altre forme di protezione, come la verifica della cifratura di un pacchetto, potrebbero mitigare il rischio, ma in generale si tratta di una questione di livello critico che andrà sanata al più presto.
Il baco sarebbe in circolazione dal 2005 , dicono le prime analisi, con tanti saluti alla presunta sicurezza “superiore” del codice open source: l’errore di programmazione è molto simile a quello presente nel codice Apple, solo un po’ meno evidente, ma il risultato è pressoché identico. La patch a ogni modo è già disponibile sia per la distro Linux Red Hat che per GnuTLS.
Alfonso Maruccia