C’è una nuova falla di sicurezza su Internet

Un gruppo di esperti di sicurezza di Google ha annunciato di avere scoperto una nuova falla all’interno di SSL (Secure Sockets Layer), il sistema utilizzato per scambiarsi dati online in forma criptata per evitare che qualcun altro possa accedere al loro contenuto oltre a chi li invia e a chi li riceve. Il problema riguarda la versione 3.0 di SSL e potrebbe permettere a utenti malintenzionati di intercettare le informazioni che il proprio computer scambia con un sito, per esempio i dati della propria carta di credito mentre viene avviata una transazione.

Semplificando, la falla può essere sfruttata per fare credere che il computer che sta comunicando con un server non è in grado di utilizzare il sistema TSL (Transport Layer Security), molto più sicuro, obbligando il sistema a tentare la connessione con il più datato e meno affidabile SSL 3.0. A questo punto l’utente malintenzionato può sfruttare ulteriormente la falla di sicurezza per ottenere informazioni sui dati scambiati tra mittente e ricevente. Questo tipo di attacco è stato chiamato da Google attacco di tipo “POODLE” (“Padding Oracle On Downgraded Legacy Encryption): la parola “poodle” in inglese indica la razza canina dei barboncini.

Il protocollo SSL esiste dal 1996 e, anche nel caso in cui non ne abbiate mai sentito parlare, ci avete sicuramente avuto a che fare. Le connessioni che lo utilizzano sono riconoscibili di solito grazie alla presenza dell’icona di un lucchetto vicino alla barra degli indirizzi del proprio browser. L’icona segnala che la comunicazione che sta avvenendo tra il proprio computer e un determinato sito è sicura, grazie allo scambio di dati criptati. Quando un browser, o un’applicazione, si mette in contatto con un server (i computer che fanno funzionare i siti e non solo), si scambiano una chiave necessaria per decifrare i dati che si invieranno da quel momento in poi grazie al protocollo SSL. Se però il protocollo ha qualche falla di sicurezza, come nel caso di POODLE, la comunicazione non è più potenzialmente sicura ed è quindi esposta ad eventuali utenti malintenzionati.

I ricercatori di Google consigliano a chi gestisce i server di disattivare quanto prima SSL 3.0 dai loro sistemi, passando a protocolli più sicuri come TSL. I principali produttori di browser hanno già annunciato di essere al lavoro per rimuovere l’utilizzo del certificato dai loro programmi, opzione che sarà disponibile a partire dai prossimi aggiornamenti. Mozilla ha confermato che SSL 3.0 sarà disattivato su Firefox a partire dalla versione 34, che dovrebbe essere messa online a fine novembre. Microsoft (Explorer), Google (Chrome) ed Apple (Safari), cioè i principali produttori di browser insieme a Mozilla, dovrebbero diffondere aggiornamenti nelle prossime settimane per risolvere il problema.

POODLE non è un problema di sicurezza da sottovalutare, ma è comunque meno grave rispetto ad Heartbleed, la grande falla annunciata lo scorso aprile che interessa sempre il modo in cui vengono cripitati alcuni tipi di comunicazioni su Internet. Sviluppatori ed esperti di sicurezza sono ancora alle prese con Heartbleed, che sta richiedendo l’aggiornamento su larga scala di moltissime reti. Nel caso di SSL 3.0, l’esclusione di questa versione del protocollo ormai datata e gli aggiornamenti dei browser dovrebbero essere sufficienti.