Falla di sicurezza DROWN

Ti ricordi di Heartbleed ? Ora siamo di fronte ad un nuovo problema simile. Si chiama DROWN e significa Decrypting RSA with Obsolete and Weakened eNcryption.

Ecco come stanno le cose, cosa devi sapere e cosa puoi fare.

 

Falla di sicurezza DROWN

DROWN è stata comunicata meno di 48 ore fa. Si tratta di una vulnerabilità in OpenSSL che riguarda i server che usano SSLv2.
La cosa è piuttosto grave, dato che stiamo parlando dei protocolli pensati proprio per garantire la sicurezza delle comunicazioni in internet. Tanto per essere chiari: quelli che permettono di “garantire” la sicurezza e la riservatezza quando usiamo una carta di credito nel web, ad esempio.
In pratica qualcuno può attaccare un sistema che usa HTTPS e riuscire a decrittare le comunicazioni che stanno passando. Si parla di circa il 33% di server vulnerabili. Meno di quanti erano affetti da Heartbleed, ma sempre tanti.

Un altro dato inquietante: nel primo milione di siti più importanti che usano HTTPS, il 25% è risultato affetto dal problema (al 1 marzo 2016)
Tra questi si segnalano i siti Yahoo, Alibaba, BuzzFeed, Flickr e Samsung.

Cosa può succedere ?

Di fatto chi sferra l’attacco può intercettare e leggere ogni comunicazione si svolga tra un utente e un server. Quindi gli sarà possibile leggere email e messaggi, intercettare le password e i numeri delle carte di credito, accedere a documenti riservati.

Il mio sito è vulnerabile ?

La vulnerabilità riguarda solo i server che usano HTTPS, se il tuo sito lavora con HTTP, il problema non ti riguarda direttamente.
Viceversa devi controllare se usi SSLv2. In quel caso ci sono possibilità che il vecchio sistema ti esponga a seri rischi.
Attualmente quel tipo di sicurezza viene garantita dal protocollo di sicurezza TLS, ma se usi SSLv2, conviene controllare.

Come verificare

Il modo più veloce è controllare con una piccola utility che si trova sul sito dedicato drownattack.com

E il mio browser ?

I browser “moderni” usano da tempo TLS, quindi se aggiorni costantemente il tuo sistema sei già al sicuro. Ma attenzione, il browser è solo una metà del sistema di comunicazione. Occorre verificare il server a cui ci si collega.

 

 

Lascia il tuo commento