Tutti i computer che possiedono come sistema operativo una qualsiasi versione di Microsoft Windows sono vulnerabili a “FREAK”, un bug scoperto recentemente che per più di un decennio ha aperto le porte a possibili hacker. La vulnerabilità in oggetto offre la possibilità di decriptare il traffico protetto HTTPS scambiato tra utenti e milioni di siti web.
Microsoft stessa ha confermato la vulnerabilità in un avviso pubblicato qualche giorno fa. E’ stato reso disponibile un servizio per la scansione e la ricerca di vulnerabilità Windows, oltre che informativo sul bug, chiamato FREAKAttack.com. Il sito ha anche dimostrato la vulnerabilità di un PC con installato Internet Explorer 11 e Windows 7 con tutti gli aggiornamenti installati. In precedenza si era sempre convinti del fatto che Windows fosse inattaccabile dal punto di vista del traffico HTTPS.
Gli attacchi FREAK – acronimo che sta per “Factoring attack on RSA-EXPORT Keys – sono possibili quando un utente è connesso con un dispositivo vulnerabile ad un sito protetto da HTTPS. I siti vulnerabili sono configurati in modo da utilizzare un cifrario debole che molti credevano in disuso da anni. Durante un’analisi effettuata immediatamente dopo la scoperta di FREAK, si pensava che fossero oggetto di vulnerabilità i dispositivi Android, gli iPhone e i Mac di Apple e gli smartphone di Blackberry. L’aggiunta di Windows all’elenco ha aumentato in maniera smisurata il numero di utenti oggetto di attacco.
Gli attacker, ovvero chi intende attaccare in questo caso il traffico dati in rete altrui, sono nella posizione di monitorare il traffico scambiato tra gli utenti e i server vulnerabili e possono iniettare del codice malevole nel flusso dati. Questo potrebbe causare l’utilizzo di una chiave di crittografia debole a 512 bit durante la negoziazione delle sessioni web private. In parole povere gli attacker possono raccogliere il risultato dello scambio e usare un servizio di cloud computing (come quello di Amazon) per ottenere la chiave privata del sito. Il processo richiede circa 7 ore di lavoro da parte dei server di cloud computing che corrisponde a circa 100 dollari di spesa.
Nel frattempo Google ha rilasciato un update di Chrome per Mac che ora non può più essere forzato ad usare una chiave debole a 512 bit, chiudendo di fatto ogni possibilità di attacco FREAK per gli utenti che utilizzano il browser Google su OS X. Nel momento della stesura dell’articolo, la vulnerabilità per Chrome su Android è rimasta, ma Google ha annunciato che verrà rilasciato un update al più presto. Apple ha già ufficialmente annunciato che le patch per OS X e per iOS verranno rilasciate al più presto. Microsoft non ha previsto una data di rilascio, analogamente a quanto annunciato da Apple.
Una soluzione, in attesa del rilascio delle patch alla vulnerabilità FREAK, è quella di considerare l’utilizzo di Firefox, che negli scorsi giorni è stato considerato come sicuro dal sito FREAKattack.
Nelle settimane passate, i ricercatori di sicurezza hanno scansionato circa 14 milioni di sito protetti da HTTPS e hanno individuato il 36% di siti vulnerabili all’attacco, quindi capaci di supportare la chiave di cifratura debole.
Nonostante il gran numero di siti e dispositivi vulnerabili, si è scatenato un dibattito molto acceso fra i professionisti della sicurezza su quanto sia critica la minaccia rappresentata da FREAK.
Da una parte, infatti, la minaccia è bassa per il fatto che è difficile o impossibile per gli avversari effettuare attacchi FREAK a distanza o verso grandi colossi. Ad esempio, Google, Facebook, e molti altri siti di grandi dimensioni non sono vulnerabili. Queste considerazioni e la percezione di minaccia bassa probabilmente contribuiscono alla lentezza rilascio di patch provenienti da Apple, Google e Microsoft.
D’altra parte altri ricercatori dicono che la gravità è molto più alta. Oltre ai milioni di siti web e ai dispositivi degli utenti finali noti per essere vulnerabili, altri motivi per pensare che FREAK sia grave è il fatto che sia stata presente per un decennio. Ciò significa che è possibile che malintenzionati abbiano conosciuto e sfruttato la vulnerabilità per anni.
Aggiornamento: sono state rilasciate le patch per Internet Explorer, per Chrome sia per Mac OS sia per Android, per Safari sia per Mac OS sia per iOS e anche per Opera su Mac OS. Mancano all’appello le patch per i browser stock di Android e di BlackBerry.
L’articolo ti è piaciuto? Condividilo con chi vuoi attraverso il tuo social network preferito usando la barra a sinistra.
Cosa ne pensi? Condividi con noi la tua esperienza lasciando un commento!