È stata identificata una nuova falla di sicurezza nelle tecnologie crittografiche usate per proteggere le comunicazioni Web, un problema per cui il governo USA è direttamente responsabile. Si aspetta una patch.
Di nuovo sotto l’occhio del ciclone SSL e TLS, i protocolli per le comunicazioni “sicure” su canale HTTPS da cui emergono continuamente nuovi bug di sicurezza o veri e propri potenziali disastri del calibro di Heartbleed e POODLE.
L’ultimo problema in ordine di tempo si chiama FREAK, e rappresenta la conseguenza diretta delle decisioni scellerate prese dagli USA in materia di crittografia negli anni ’90.
FREAK è un attacco alle comunicazioni SSL in grado di sfruttare una vulnerabilità classificata come CVE-2015-0204, un meccanismo con cui un malintenzionato può obbligare un server ad accettare una chiave crittografica debole e poi spendere un centinaio di dollari sul computing distribuito di Amazon (AWS) per crackare la suddetta chiave nel giro di poche ore.
Una volta compromessa la chiave crittografica, il criminale può impersonare un sito web vulnerabile e condurre attacchi di tipo man-in-the-middle nei confronti dell’utente, dei suoi dati e di qualsiasi altra cosa passi per la connessione messa sotto controllo.
Un problema come FREAK rappresenta l’effetto diretto della messa al bando delle tecnologie crittografiche “forti” imposta dagli States, un modo per garantire all’intelligence una scappatoia con la possibilità di compromettere le chiavi in tempi ragionevoli in caso di necessità. Il bando è stato poi rimosso, ma le decisioni governative hanno costretto il mercato tecnologico ad adottare un livello di sicurezza inferiore che perdura tuttora online per questione di mera compatibilità. FREAK evidenzia ancora una volta come indebolire le protezioni crittografiche per ragioni di stato non convenga a nessuno, ed abbia effetti pericolosi destinati a persistere nei decenni successivi.
Nel caso del nuovo attacco contro SSL, l’azienda di CDN Akamai dice di aver aggiornato i sistemi così come patch correttive sono in arrivo per Safari di Apple e per Chrome dedicato ad Android.
Discussione su post