FREAK, da dieci anni c'è una falla nella sicurezza HTTPS

Coinvolti Windows, Android, Apple: aggiornatevi appena possibile.



[ZEUS News - www.zeusnews.it - 08-03-2015]

freaks

Aggiornamenti obbligatori per tutti: pochi giorni fa è stata annunciata una falla di sicurezza importante su un aspetto essenziale come la protezione HTTPS del traffico di Internet. Il bello (si fa per dire) è che la falla è aperta da circa dieci anni.

La falla, denominata FREAK (acronimo un po' forzato di Factoring Attack on RSA-EXPORT Keys), sta nel fatto che un aggressore può forzare un dispositivo o software vulnerabile ad abbassare il proprio livello di cifratura, riducendolo a una chiave di 512 bit.

Il traffico cifrato con questa chiave debole viene poi analizzato usando servizi online di calcolo, come quelli di Amazon, e rivela la chiave privata di cifratura del sito visitato: a questo punto l'aggressore può spacciarsi perfettamente per il sito vero, imitandone anche la protezione HTTPS (il famoso lucchetto chiuso), e può rubare o modificare i dati riservati scambiati da tutti i visitatori con il sito in questione: password, transazioni bancarie, messaggi, tutto. La decifrazione della chiave di un singolo sito costa soltanto un centinaio di dollari su servizi di calcolo distribuito come quelli offerti da Amazon.

Inizialmente sembrava che la falla riguardasse soltanto i dispositivi Android, gli iPhone, i computer della Apple e gli smartphone di Blackberry, ma poi Microsoft ha annunciato che anche tutte le versioni correnti di Windows sono vulnerabili.

Gli esperti hanno inoltre rilevato che al momento circa il 36% dei siti Web è affetto da questa falla. Fra i nomi di spicco ci sono AmericanExpress.com, Groupon.com e Bloomberg.com. Google e Facebook non sono vulnerabili.

Sondaggio
Ogni quanto tempo il tuo Pc è affetto da malware?
Una o due volte l'anno.
Tre o più volte l'anno.
E' successo una volta e mai più.
Mai.

Mostra i risultati (2918 voti)
Leggi i commenti (49)

Per correggere questa falla è indispensabile aggiornarsi: Google ha già reso disponibile la versione aggiornata di Chrome per Mac e Firefox non è vulnerabile; gli aggiornamenti per OS X e iOS e per Windows verranno distribuiti prossimamente.

Per sapere se i vostri browser sono vulnerabili, usateli per visitare il sito Freakattack.com (se compare un avviso su sfondo rosso, siete vunerabili); per sapere se un sito è attaccabile, basta immetterne il nome in questa pagina di Keycdn.com. Un elenco aggiornato dei principali siti che risultano affetti da questa falla è presso https://freakattack.com/#alexa; l'elenco completo include centinaia di siti svizzeri e italiani.

Ironicamente, questa falla è stata resa possibile dalle richieste governative (in questo caso statunitensi) di indebolire volutamente la cifratura vendibile all'estero, allo scopo di impedire ai paesi rivali, ai terroristi e ai malviventi di comunicare in modo non intercettabile.

Visto che richieste analoghe vengono fatte tuttora da alcuni governi, come quello britannico, si spera che questa notizia serva da lezione per non ripetere gli errori del passato.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (5)

{utente anonimo}
Scoperta questa vulnerabilità..Alla prossima!..Mondo di guardie e ladri...in continua rotazione.
9-3-2015 22:42

{ictuscano}
Ah si, chiedo scusa: l'articolo non diceva che non era vulnerabile, avevo frainteso col Mac
8-3-2015 20:55

{ictuscano}
A me la verifica di Chrome per Android 4.2 dà il browser vulnerabile
8-3-2015 20:50

{utente anonimo}
Nell'elenco non mi sarei certo aspettato di trovare: 658067, sicurezzanazionale.gov.it , 151.13.11.188 :-/
7-3-2015 23:03

Sarò pessimista ma temo che niente serva di lezione ai governanti per limitare il più possibile situazioni come questa: l'unica cosa che capiscono è la falsa sensazione di sicurezza e di forza che gli da esercitare il loro potere a vanvera. :twisted:
7-3-2015 19:02

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Una donna è stata querelata per una recensione negativa di un ristorante scritta su Trip Advisor. Quale di queste affermazioni trovi più vicina al tuo pensiero?
Non è giusto che un'opinione scritta su Internet sia considerata pari a un articolo su un giornale. Bisogna rivedere al più presto le leggi sulla difesa dell'onore e sulla diffamazione.
E' giusto che anche sui forum o su Facebook o sui siti di recensioni si applichino le leggi relative alla diffamazione. Un'opinione negativa può rovinare la reputazione di un locale.
Gli utenti devono poter esprimere con la massima libertà la propria opinione su ristoranti, alberghi, ma anche prodotti o servizi acquistati. Un'opinione negativa non dovrebbe essere considerata diffamazione.
Trovo che oggi più che mai sia necessario prestare la massima attenzione a quello che si scrive online.
Le recensioni su Internet sono in gran parte inaffidabili: quelle positive sono scritte dai proprietari, quelle negative dalla concorrenza. In ogni caso l'opinione dei pochi singoli onesti non è significativa.
Vorrei dire la mia sul forum di Zeus News ma temo che prima dovrei procurarmi un buon avvocato, non si sa mai.

Mostra i risultati (4280 voti)
Luglio 2026
PayPal crolla e diventa preda
Basta una dieresi per mandare in crisi l'app IO
Furgone segue il navigatore e arriva a un rifugio di montagna
Microsoft: preparatevi a un diluvio di patch
Torlink, il motore torrent da terminale che unifica ricerca e download
La stampante completamente open source è quasi pronta
Windows 11 identifica ogni PC con un codice unico: così è stato arrestato un diciannovenne
Certificati, finalmente la PA accede direttamente all'Anagrafe Nazionale
Il bug in Windows 11 che divora fino a 70 GB di spazio
WhatsApp, al via la prenotazione dei nomi utente
Giugno 2026
Hackerata Trenitalia, rubati i dati di viaggio dei passeggeri
L'UE approva l'euro digitale
L'avanzata delle dark factory: 1300 lavoratori sostituiti da 50 robot
Il telefono minimalista di Commodore che sfida gli smartphone tradizionali
Recesso online, obbligatorio il pulsante su tutti gli e-commerce
Tutti gli Arretrati
Accadde oggi - 18 luglio


web metrics