Arriva dalla Masaryk University nella Repubblica Ceca la notizia dell’ennesima vulnerabilità “sistemica”, una falla di sicurezza individuata all’interno di un’importante libreria crittografica che ora mette a rischio un gran numero di prodotti tecnologici e relativi utenti. A rischio soprattutto i sistemi con integrato un chip TPM ( Trusted Platform Module ), presunto bastione contro hacker e cyber-criminali che diviene per l’ennesima volta un rischio di sicurezza piuttosto che una difesa.
La falla scovata dai ricercatori , ribattezzata ROCA, riguarda in particolare attacchi pratici a base di fattorizzazione , dove un malintenzionato potrebbe estrapolare la chiave privata RSA a partire dalla chiave pubblica corrispondente se la coppia di chiavi è stata generata attraverso le librerie vulnerabili in oggetto.
La lunghezza minore o maggiore delle chiavi non fa alcuna differenza, spiegano i ricercatori, e il problema risulta essere presente nei chip di sicurezza realizzati dalla tedesca Infineon sin dal 2012 . Si parla, in particolare, di smartcard o carte di credito, token di sicurezza e i suddetti chip TPM integrati soprattutto sui portatili di
Lenovo , HP e Fujitsu . Coinvolti risultano anche i colossi tecnologici come Microsoft e Google .
Un esempio pratico del rischio connesso al bug è quello dei dischi crittografati tramite BitLocker e che diventano potenzialmente vulnerabili, mentre i ricercatori rivelano di aver individuato coppie di chiavi vulnerabili in diversi scenari di utilizzo inclusi documenti di identità elettronici, tool per la firma digitale dei pacchetti software, chiavi TLS/HTTPS, PGP. Il numero delle coppie di chiavi vulnerabili accertato è di 760.000, mentre quello reale è probabilmente superiore di due o tre ordini di grandezza.
Che fare per mitigare il problema delle chiavi vulnerabili? Fortunatamente per gli utenti finali, la falla è stata scoperta otto mesi fa e se ne è data notizia solo ora per permettere alle aziende tecnologiche di correggere il problema nei rispettivi prodotti . Un utente di Windows 10 che abbia installato le ultime patch dovrebbe essere insomma al sicuro, mentre dal ROCA hanno messo a disposizione una serie di strumenti on-line e off-line per testare manualmente la possibile vulnerabilità di una coppia di chiavi RSA.
Alfonso Maruccia
Ti potrebbe interessare
17 ott 2017