c.m.g
03-03-2016, 12:18
mercoledì 2 marzo 2016
Identificata una nuova minaccia contro i server HTTPS, un problema che si potrebbe risolvere con facilità ma che al momento coinvolge un gran numero di siti e servizi Web apparentemente "sicuri"
Roma - Il nuovo caso di insicurezza informatica distribuita si chiama DROWN (https://drownattack.com/), coinvolge milioni di siti Web con connessioni HTTPS e prende ancora una volta di mira i sistemi crittografici già da tempo classificati come insicuri. Oltre alle patch, risolvere la questione alla radice si può: basta disabilitare SSLv2.
Il protocollo di sicurezza Secure Sockets Layer è universalmente considerato come insicuro, e gli esperti consigliano da anni di disabilitarlo a favore del più moderno e robusto TLS; DROWN sfrutta l'insicurezza di SSLv2 sondando i server potenzialmente vulnerabili, forzando poi le comunicazioni tra client e server a fare uso di SSL per bypassare le chiavi crittografiche RSA.
Una volta forzato il downgrade da TLS a SSLv2 un cyber-criminale potrebbe a quel punto rubare informazioni sensibili o riservate, condurre ulteriori attacchi di tipo man-in-the-middle e altro ancora. Il numero di server vulnerabili è calcolato in più di 11 milioni, circa un terzo di tutte le connessioni HTTPS. Lo sfruttamento nel nuovo bug di SSLv2 non è banale (http://blog.cryptographyengineering.com/2016/03/attack-of-week-drown.html), e potrebbe in ogni caso essere completamente neutralizzato disabilitando il protocollo insicuro su tutti i server appartenenti a una stessa rete accessibile via Internet. SSL andrebbe disabilitato in ogni caso, avvertono gli esperti.
E se la modifica della configurazione di rete non basta, le patch sono già arrivate (http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/) (o sono in arrivo) per chiudere l'ennesima falla sulle librerie OpenSSL, i sistemi operativi open source (Red Hat, Canonical, SUSE Linux) e tutto quanto. Il CDN Cloudflare tiene a comunicare di non essere vulnerabile (https://blog.cloudflare.com/the-drown-attack/) visto che non fa uso di SSLv2.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4304686/PI/News/drown-nuovo-attacco-contro-connessioni-sicure.aspx)
Identificata una nuova minaccia contro i server HTTPS, un problema che si potrebbe risolvere con facilità ma che al momento coinvolge un gran numero di siti e servizi Web apparentemente "sicuri"
Roma - Il nuovo caso di insicurezza informatica distribuita si chiama DROWN (https://drownattack.com/), coinvolge milioni di siti Web con connessioni HTTPS e prende ancora una volta di mira i sistemi crittografici già da tempo classificati come insicuri. Oltre alle patch, risolvere la questione alla radice si può: basta disabilitare SSLv2.
Il protocollo di sicurezza Secure Sockets Layer è universalmente considerato come insicuro, e gli esperti consigliano da anni di disabilitarlo a favore del più moderno e robusto TLS; DROWN sfrutta l'insicurezza di SSLv2 sondando i server potenzialmente vulnerabili, forzando poi le comunicazioni tra client e server a fare uso di SSL per bypassare le chiavi crittografiche RSA.
Una volta forzato il downgrade da TLS a SSLv2 un cyber-criminale potrebbe a quel punto rubare informazioni sensibili o riservate, condurre ulteriori attacchi di tipo man-in-the-middle e altro ancora. Il numero di server vulnerabili è calcolato in più di 11 milioni, circa un terzo di tutte le connessioni HTTPS. Lo sfruttamento nel nuovo bug di SSLv2 non è banale (http://blog.cryptographyengineering.com/2016/03/attack-of-week-drown.html), e potrebbe in ogni caso essere completamente neutralizzato disabilitando il protocollo insicuro su tutti i server appartenenti a una stessa rete accessibile via Internet. SSL andrebbe disabilitato in ogni caso, avvertono gli esperti.
E se la modifica della configurazione di rete non basta, le patch sono già arrivate (http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/) (o sono in arrivo) per chiudere l'ennesima falla sulle librerie OpenSSL, i sistemi operativi open source (Red Hat, Canonical, SUSE Linux) e tutto quanto. Il CDN Cloudflare tiene a comunicare di non essere vulnerabile (https://blog.cloudflare.com/the-drown-attack/) visto che non fa uso di SSLv2.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4304686/PI/News/drown-nuovo-attacco-contro-connessioni-sicure.aspx)