DROWN, nuovo attacco contro le connessioni sicure

DROWN, nuovo attacco contro le connessioni sicure

Il nuovo caso di insicurezza informatica distribuita si chiama DROWN, coinvolge milioni di siti Web con connessioni HTTPS e prende ancora una volta di mira i sistemi crittografici già da tempo classificati come insicuri. Oltre alle patch, risolvere la questione alla radice si può: basta disabilitare SSLv2.

Il protocollo di sicurezza Secure Sockets Layer è universalmente considerato come insicuro, e gli esperti consigliano da anni di disabilitarlo a favore del più moderno e robusto TLS; DROWN sfrutta l'insicurezza di SSLv2 sondando i server potenzialmente vulnerabili, forzando poi le comunicazioni tra client e server a fare uso di SSL per bypassare le chiavi crittografiche RSA.

Una volta forzato il downgrade da TLS a SSLv2 un cyber-criminale potrebbe a quel punto rubare informazioni sensibili o riservate, condurre ulteriori attacchi di tipo man-in-the-middle e altro ancora. Il numero di server vulnerabili è calcolato in più di 11 milioni, circa un terzo di tutte le connessioni HTTPS.Lo sfruttamento nel nuovo bug di SSLv2 non è banale, e potrebbe in ogni caso essere completamente neutralizzato disabilitando il protocollo insicuro su tutti i server appartenenti a una stessa rete accessibile via Internet. SSL andrebbe disabilitato in ogni caso, avvertono gli esperti.

E se la modifica della configurazione di rete non basta, le patch sono già arrivate (o sono in arrivo) per chiudere l'ennesima falla sulle librerie OpenSSL, i sistemi operativi open source (Red Hat, Canonical, SUSE Linux) e tutto quanto.
La libreria TLS LibreSSL non è affetta da questo bug inquanto ha disabilitato SSLv2 già da parecchio tempo.