Cerca nel blog

2015/03/06

FREAK: da dieci anni c’è una falla nella sicurezza HTTPS di Windows, Android, Apple. Aggiornatevi appena possibile

Aggiornamenti obbligatori per tutti: pochi giorni fa è stata annunciata una falla di sicurezza importante su un aspetto essenziale come la protezione HTTPS del traffico di Internet. Il bello (si fa per dire) è che la falla è aperta da circa dieci anni.

La falla, denominata FREAK (acronimo un po' forzato di Factoring Attack on RSA-EXPORT Keys), sta nel fatto che un aggressore può forzare un dispositivo o software vulnerabile ad abbassare il proprio livello di cifratura, riducendolo a una chiave di 512 bit. Il traffico cifrato con questa chiave debole viene poi analizzato usando servizi online di calcolo, come quelli di Amazon, e rivela la chiave privata di cifratura del sito visitato: a questo punto l'aggressore può spacciarsi perfettamente per il sito vero, imitandone anche la protezione HTTPS (il famoso lucchetto chiuso), e può rubare o modificare i dati riservati scambiati da tutti i visitatori con il sito in questione: password, transazioni bancarie, messaggi, tutto. La decifrazione della chiave di un singolo sito costa soltanto un centinaio di dollari su servizi di calcolo distribuito come quelli offerti da Amazon.

Inizialmente sembrava che la falla riguardasse soltanto i dispositivi Android, gli iPhone, i computer della Apple e gli smartphone di Blackberry, ma poi Microsoft ha annunciato che anche tutte le versioni correnti di Windows sono vulnerabili. Gli esperti hanno inoltre rilevato che al momento circa il 36% dei siti Web è affetto da questa falla. Fra i nomi di spicco ci sono AmericanExpress.com, Groupon.com e Bloomberg.com. Google e Facebook non sono vulnerabili.

Per correggere questa falla è indispensabile aggiornarsi: Google ha già reso disponibile la versione aggiornata di Chrome per Mac e Firefox non è vulnerabile; gli aggiornamenti per OS X e iOS e per Windows verranno distribuiti prossimamente.

Per sapere se i vostri browser sono vulnerabili, usateli per visitare il sito Freakattack.com (se compare un avviso su sfondo rosso, siete vunerabili); per sapere se un sito è attaccabile, basta immetterne il nome in questa pagina di Keycdn.com. Un elenco aggiornato dei principali siti che risultano affetti da questa falla è presso https://freakattack.com/#alexa; l'elenco completo include centinaia di siti svizzeri e italiani.

Ironicamente, questa falla è stata resa possibile dalle richieste governative (in questo caso statunitensi) di indebolire volutamente la cifratura vendibile all'estero, allo scopo di impedire ai paesi rivali, ai terroristi e ai malviventi di comunicare in modo non intercettabile. Visto che richieste analoghe vengono fatte tuttora da alcuni governi, come quello britannico, si spera che questa notizia serva da lezione per non ripetere gli errori del passato.

Nessun commento: