skip to main | skip to sidebar
4 commenti

FREAK: da dieci anni c’è una falla nella sicurezza HTTPS di Windows, Android, Apple. Aggiornatevi appena possibile

Aggiornamenti obbligatori per tutti: pochi giorni fa è stata annunciata una falla di sicurezza importante su un aspetto essenziale come la protezione HTTPS del traffico di Internet. Il bello (si fa per dire) è che la falla è aperta da circa dieci anni.

La falla, denominata FREAK (acronimo un po' forzato di Factoring Attack on RSA-EXPORT Keys), sta nel fatto che un aggressore può forzare un dispositivo o software vulnerabile ad abbassare il proprio livello di cifratura, riducendolo a una chiave di 512 bit. Il traffico cifrato con questa chiave debole viene poi analizzato usando servizi online di calcolo, come quelli di Amazon, e rivela la chiave privata di cifratura del sito visitato: a questo punto l'aggressore può spacciarsi perfettamente per il sito vero, imitandone anche la protezione HTTPS (il famoso lucchetto chiuso), e può rubare o modificare i dati riservati scambiati da tutti i visitatori con il sito in questione: password, transazioni bancarie, messaggi, tutto. La decifrazione della chiave di un singolo sito costa soltanto un centinaio di dollari su servizi di calcolo distribuito come quelli offerti da Amazon.

Inizialmente sembrava che la falla riguardasse soltanto i dispositivi Android, gli iPhone, i computer della Apple e gli smartphone di Blackberry, ma poi Microsoft ha annunciato che anche tutte le versioni correnti di Windows sono vulnerabili. Gli esperti hanno inoltre rilevato che al momento circa il 36% dei siti Web è affetto da questa falla. Fra i nomi di spicco ci sono AmericanExpress.com, Groupon.com e Bloomberg.com. Google e Facebook non sono vulnerabili.

Per correggere questa falla è indispensabile aggiornarsi: Google ha già reso disponibile la versione aggiornata di Chrome per Mac e Firefox non è vulnerabile; gli aggiornamenti per OS X e iOS e per Windows verranno distribuiti prossimamente.

Per sapere se i vostri browser sono vulnerabili, usateli per visitare il sito Freakattack.com (se compare un avviso su sfondo rosso, siete vunerabili); per sapere se un sito è attaccabile, basta immetterne il nome in questa pagina di Keycdn.com. Un elenco aggiornato dei principali siti che risultano affetti da questa falla è presso https://freakattack.com/#alexa; l'elenco completo include centinaia di siti svizzeri e italiani.

Ironicamente, questa falla è stata resa possibile dalle richieste governative (in questo caso statunitensi) di indebolire volutamente la cifratura vendibile all'estero, allo scopo di impedire ai paesi rivali, ai terroristi e ai malviventi di comunicare in modo non intercettabile. Visto che richieste analoghe vengono fatte tuttora da alcuni governi, come quello britannico, si spera che questa notizia serva da lezione per non ripetere gli errori del passato.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (4)
Ma ci saranno aggiornamenti per sistemare questa falla anche per i vecchi modelli di iPhone, che sono fermi da tempo a vecchie versioni di iOS?
Uhm... Chrome per android fa le bizze. Cliccando sui link di Freakattack me lo dà vulnerabile, salvo poi far apparire una finestra dicendo che il mio browser non è compatibile con il test...
NSA stessa ha subito un attacco dimostrativo. http://www.techworm.net/2015/03/104-dollar-8-hours-amazons-cloud-computing-all-took-hack-nsa-website.html
Bene. Tutti i miei browsers e i miei siti sono vulnerabili.