Security Notes

Attacco POODLE, è possibile intercettare dati sensibili su connessioni protette?

sicurezza-dati

Molti di voli avranno sentito parlare di una nuova falla nel protocollo di Secure Sockets Layer (SSL), uno dei più utilizzati in rete per la connessione ad una ampia gamma di siti sicuri come e-commerce e servizi di online banking. I protocolli TLS (Transport Layer Security) e il suo predecessore SSL (Secure Sockets Layer) sono dei protocolli crittografici utilizzati per stabilire un canale di comunicazione sicuro tra un client ed un server in grado di evitare che i dati in transito possano essere intercettati.

Quando si deve accedere al sito della nostra banca, oppure a qualunque servizio di e-commerce, si utilizza il protocollo HTTPS che fa uso del protocollo crittografico SSL/TLS abbinato all’utilizzo di un certificato digitale. Le informazioni possono così essere trasferite in forma cifrata, su una connessione intrinsecamente insicura.
La falla in questione è stata scoperta da un gruppo di esperti alla Google, Bodo Möller, Thai Duong, e Krzysztof Kotowicz, i quali hanno individuato una vulnerabilità nella versione SSLv3, e definito una modalità di attacco definita (Padding Oracle On Downgraded Legacy Encryption) che è in grado di sfruttarla. In molti hanno paragonato in maniera impropria la falla alle più note vulnerabilità Heartbleed e BashBug, rispettivamente individuate nella libreria OpenSSL e nella popolare shell Bash di sistemi Linux e Unix.

L’attacco POODLE, seppure potenzialmente pericoloso, è ben altra cosa. Un attaccante potrebbe sfruttare la metodica illustrata del gruppo di esperti di Google per intercettare il traffico dati da una connessione protetta, mediante la tecnica di attacco nota come Man-In-The-Middle. Sebbene il protocollo SSLv3 sia stato sostituito dal protocollo Transport Layer Security (TLS), la maggior parte dei browser e dei Web Server oggi continua a supportarlo. Per avere un’idea di quanto il protocollo sia ancora in uso vi invito a prendere visione dei dati presenti all’indirizzo https://zmap.io/sslv3/ che sono relativi ai principali domini censiti da Alexia (Top 1 Million Domains).

 Poodle

La tecnica di attacco POODLE sfrutta l’assenza di validazione dei messaggi pervenuti attraverso un canale di comunicazione sicuro stabilito mediante protocollo SSLv3, rendendo possibile ad un attaccante di decifrare l’intero traffico protetto una volta ricostruiti i cookie di sessione utilizzati dalla vittima.

Quando si è esposti ad un attacco POODLE?

Il tipico scenario di attacco è quello in cui un attaccante mette in piedi un Wi-Fi HotSpot malevolo per ricostruire i session cookie utilizzati degli ignari utenti che vi si connettono e decifrare i traffico protetto da e verso essi. In pratica una vittima si collega ad una rete WiFi e mentre prova ad accedere ad un sito mediante una connessione protetta, l’attaccante riesce a vederne il traffico.
Altro possibile scenario è quello in cui un Internet Service Provider utilizzi la tecnica per accedere al traffico dei propri utenti perché richiestogli da un governo nell’ambito di attività di sorveglianza.
Fortunatamente il protocollo TLS 1.0, e le sue versioni più recenti non sono vulnerabili a questo tipo di attacco perché validano i dati inviati con i messaggi attraverso un canale protetto.
Contrariamente a quando avvenuto in passato per vulnerabilità scoperte in altri protocolli, non sono disponibili fix per il protocollo SSLv3 e si consideri che i software che lo utilizzano come Internet Explorer 6 su Windows XP non sono più supportati e quindi risultano vulnerabili all’attacco POODLE.

E allora, come proteggersi?

Disabilitare il supporto ad SSLv3 è l’unico modo per proteggere i nostri sistemi, i principali hosting providers si stanno attivando in tal senso così come i produttori dei principali web browser.

Per conoscere se il browser che usiamo è vulnerabile è possibile utilizzare il test disponibile al seguente link: https://www.poodletest.com/

Per coloro che gestiscono un server web è possibile controllare se è vulnerabile, è quindi se è attivo il supporto al protocollo SSLv3, digitando il nome del dominio da verificare nella form proposta all’indirizzo: http://poodlebleed.com/

Per coloro che volessero approfondire l’argomento suggerisco la lettura di un rapporto dettagliato sull’attacco POODLE che ho scritto sul mio blog Security Affairs.

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This