Skip to content

DROWN, un nuovo attacco di decrittazione mette a rischio la sicurezza di oltre 11 milioni di siti Web HTTPS

Un nuovo attacco di decrittazione che i ricercatori hanno soprannominato la vulnerabilità DROWN, abbreviazione di Decrypting RSA with Obsolete and Weakened eCcryption, è in circolazione e mette in linea più di 11 milioni di siti Web e servizi di posta elettronica protetti dal protocollo di sicurezza del livello di trasporto.

La vulnerabilità appena scoperta è stata scoperta dagli sviluppatori martedì ed è stata descritta come un attacco a basso costo che decrittografa le comunicazioni sensibili in poche ore e in alcuni casi quasi immediatamente. La vulnerabilità consente di indirizzare gli attacchi contro le comunicazioni protette da TLS che si basano sul crittosistema RSA, che può verificarsi anche nel caso in cui la chiave sia esposta tramite SSLv2. Apparentemente, più di 81.000 dei primi 1 milione di domini Web più popolari sono elencati tra i siti vulnerabili protetti da HTTPS.

“È abbastanza pratico perché se sai di voler mirare a determinati siti Web e sono vulnerabili, puoi praticamente impostare un negozio e la prossima cosa che sai di avere tutte queste connessioni sicure, le password e tutto il resto”,

Matt Green, un esperto di crittografia della Johns Hopkins University che ha letto il documento di ricerca, ha detto Arstechnica.

“È incredibile per me che continuiamo a trovarne uno o due [vulnerabilities] all’anno per i protocolli così vecchi. Questo non dovrebbe continuare a succedere. Mi fa sentire come se non stessimo facendo il nostro lavoro”.

DROWN si aggiunge ai bug critici che hanno consentito agli aggressori di violare TLS negli ultimi cinque anni. Altre scappatoie di sicurezza altamente volatili scoperte in precedenza includono BEAST, CRIME, BREACH e FREAK.

La sicurezza TLS è sempre stata un problema. Ci sono sempre stati problemi con la crittografia e la decrittografia e con Logjam dell’anno scorso che ha reso la sicurezza e la privacy un problema molto più grande, la sicurezza di TLS è passata attraverso il terreno.

annegamento-spiegatore-640x438

La vulnerabilità fondamentalmente consente a un utente malintenzionato di decrittografare una connessione TLS intercettata utilizzando ripetutamente SSLv2 per effettuare connessioni a un server. Ogni volta che il segnale viene intercettato, alcuni dati vengono trattenuti dall’attaccante. L’attacco, contro la credenza di massa, non può essere impedito rimuovendo il supporto SSLv2 dal browser e dai client di posta elettronica.

OpenSSL è la più vulnerabile tra tutte le implementazioni TLS a DROWN. Per impostazione predefinita, SSLv2 non è impostato come preferito, ma gli utenti spesso lo sovrascrivono per ottimizzare applicazioni specifiche. Ma ora gli amministratori non possono abilitare SSLv2 senza dichiarare l’intenzione esplicita di farlo. Martedì dovrebbe essere rilasciato un aggiornamento dalla libreria crittografica OpenSSL che renderà meno probabile che si verifichino le impostazioni che mettono la sicurezza del sistema sotto le sbarre.

Leave a Reply

Your email address will not be published. Required fields are marked *