FREAK, da dieci anni c'è una falla nella sicurezza HTTPS

Coinvolti Windows, Android, Apple: aggiornatevi appena possibile.

[ZEUS News - www.zeusnews.it - 08-03-2015]

Aggiornamenti obbligatori per tutti: pochi giorni fa è stata annunciata una falla di sicurezza importante su un aspetto essenziale come la protezione HTTPS del traffico di Internet. Il bello (si fa per dire) è che la falla è aperta da circa dieci anni.

La falla, denominata FREAK (acronimo un po' forzato di Factoring Attack on RSA-EXPORT Keys), sta nel fatto che un aggressore può forzare un dispositivo o software vulnerabile ad abbassare il proprio livello di cifratura, riducendolo a una chiave di 512 bit.

Il traffico cifrato con questa chiave debole viene poi analizzato usando servizi online di calcolo, come quelli di Amazon, e rivela la chiave privata di cifratura del sito visitato: a questo punto l'aggressore può spacciarsi perfettamente per il sito vero, imitandone anche la protezione HTTPS (il famoso lucchetto chiuso), e può rubare o modificare i dati riservati scambiati da tutti i visitatori con il sito in questione: password, transazioni bancarie, messaggi, tutto. La decifrazione della chiave di un singolo sito costa soltanto un centinaio di dollari su servizi di calcolo distribuito come quelli offerti da Amazon.

Inizialmente sembrava che la falla riguardasse soltanto i dispositivi Android, gli iPhone, i computer della Apple e gli smartphone di Blackberry, ma poi Microsoft ha annunciato che anche tutte le versioni correnti di Windows sono vulnerabili.

Gli esperti hanno inoltre rilevato che al momento circa il 36% dei siti Web è affetto da questa falla. Fra i nomi di spicco ci sono AmericanExpress.com, Groupon.com e Bloomberg.com. Google e Facebook non sono vulnerabili.

Sondaggio

Ogni quanto tempo il tuo Pc è affetto da malware?

Leggi i commenti (49)

Per correggere questa falla è indispensabile aggiornarsi: Google ha già reso disponibile la versione aggiornata di Chrome per Mac e Firefox non è vulnerabile; gli aggiornamenti per OS X e iOS e per Windows verranno distribuiti prossimamente.

Per sapere se i vostri browser sono vulnerabili, usateli per visitare il sito Freakattack.com (se compare un avviso su sfondo rosso, siete vunerabili); per sapere se un sito è attaccabile, basta immetterne il nome in questa pagina di Keycdn.com. Un elenco aggiornato dei principali siti che risultano affetti da questa falla è presso https://freakattack.com/#alexa; l'elenco completo include centinaia di siti svizzeri e italiani.

Ironicamente, questa falla è stata resa possibile dalle richieste governative (in questo caso statunitensi) di indebolire volutamente la cifratura vendibile all'estero, allo scopo di impedire ai paesi rivali, ai terroristi e ai malviventi di comunicare in modo non intercettabile.

Visto che richieste analoghe vengono fatte tuttora da alcuni governi, come quello britannico, si spera che questa notizia serva da lezione per non ripetere gli errori del passato.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Paolo Attivissimo

Commenti all'articolo (5)

{utente anonimo}

Scoperta questa vulnerabilità..Alla prossima!..Mondo di guardie e ladri...in continua rotazione.
9-3-2015 22:42

{ictuscano}

Ah si, chiedo scusa: l'articolo non diceva che non era vulnerabile, avevo frainteso col Mac
8-3-2015 20:55

{ictuscano}

A me la verifica di Chrome per Android 4.2 dà il browser vulnerabile
8-3-2015 20:50

{utente anonimo}

Nell'elenco non mi sarei certo aspettato di trovare: 658067, sicurezzanazionale.gov.it , 151.13.11.188 :-/
7-3-2015 23:03

Gladiator

Sarò pessimista ma temo che niente serva di lezione ai governanti per limitare il più possibile situazioni come questa: l'unica cosa che capiscono è la falsa sensazione di sicurezza e di forza che gli da esercitare il loro potere a vanvera. :twisted:
7-3-2015 19:02

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(4 commenti) Il dottor IA è sempre disponibile e gratuito. Ora è autorizzato a operare come un medico vero	News(8 commenti) Cloudflare contro AGCOM: le richieste di Piracy Shield non sono tecnicamente possibili

News(4 commenti)

Verifica dell'età, il TAR accoglie il ricorso di PornHub e ferma le sanzioni

News(3 commenti)

Il mercato è invaso da SSD fake, inaffidabili e con prestazioni inferiori

News(5 commenti)

Il vibe coding sta uccidendo l'open source. Tutti i lati negativi

News(4 commenti)

L'Europa accende IRIS 2, la costellazione satellitare che vuole ridurre la dipendenza da Starlink

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: