Google rivela il bug Poodle, il web è in stato di allarme

SSL di nuovo compromesso da una falla. Si chiama Poodle ed è stata scoperta dai ricercatori di Google.

poodle

Padding Oracle On Downgraded Legacy Encryption è una frase fatta ad arte che si può trasformare nell’acronimo POODLE, una parola che in inglese vuol dire “barboncino”. Il cane in questione è piuttosto innocuo nei confronti del nostro browser (anche se ci potrebbe mordere il sedere nel mondo reale), ma il bug a cui è stato assegnato questo nome ha già mandato Internet in quella che tecnicamente potremmo definire “modalità panico”.

Poodle ha anche troppe somiglianze con Heartbleed, di cui condivide il bersaglio, ovverosia il protocollo SSL, ma non è altrettanto devastante e pericoloso, solo sufficientemente rilevante da richiedere una certa attenzione. Ecco come funziona:

Il morso del barboncino


Il protocollo SSL protegge i dati che viaggiano tra l’utente sul suo terminale e il sito web che sta visitando, e li protegge oscurandoli con la crittografia. Se ci fosse una falla in SSL, e in effetti Poodle è proprio questo genere di falla, un hacker potrebbe fare da intermediario, catturare i pacchetti in transito, e spedire tutt’altro. Fortunatamente Poodle riguarda quasi esclusivamente la versione 3.0 di SSL, che è obsoleta da 15 anni. Sfortunatamente, però, è ancora supportata, e qui sta il problema: se viene riattivata apposta per questo attacco in qualche maniera, la sicurezza è compromessa.

L’unica situazione in cui non esiste possibilità di proteggersi è quando sia la pagina che l’utente supportano esclusivamente SSL 3.0, e questo succede solo quando un server fallisce una connessione e prova a riconnettersi con un altro protocollo, magari ricadendo proprio in questa versione obsoleta (in gergo, “downgrading”). Un hacker molto intelligente, quindi, potrebbe causare problemi di connessione nella speranza di fare da trigger per aprirsi la strada: da qui nasce il nome POODLE, e questa è la “downgraded legacy encryption” a cui si fa riferimento.

Google ha già fornito la sua soluzione, TLS_FALLBACK_SCSV, un meccanismo che risolve il problema impedendo ai browser di passare a SSL 3.0. In definitiva l'utente può fare poco per proteggersi, qui sta ai webmaster il dovere di restare aggiornati. Sicuramente tutti i browser verranno patchati a breve, comunque, ed è buona misura passare alla versione più aggiornata possibile.

Foto | Flickr

  • shares
  • Mail
1 commenti Aggiorna
Ordina: