Cose da “pazzi”: uno dei protocolli di sicurezza più diffusi sul Web, il Secure Socket Layer, contiene un buco che può essere facilmente sfruttato da una nuova minaccia, ribattezzata Freak, per intercettare connessioni all’apparenza protette e rubare password e dati finanziari. Secondo Websense, sarebbe a rischio il 36% di tutti i siti ritenuti affidabili dai browser, compresi quelli della Fbi e della Nsa statunitensi. Un pericolo serio, che coinvolgerebbe addirittura il 12% dei portali classificati alle prime posizioni nel ranking di Alexa.
La falla, scoperta e segnalata a Parigi dall’Istituto nazionale per la ricerca nell’informatica e nell’automazione, permette a eventuali hacker di effettuare un’azione di tipo Man-in-the-middle: un attacco crittografico nel quale il criminale è in grado di leggere e modificare messaggi tra due parti comunicanti, inserendosi quindi proprio nel mezzo. In questo caso, il buco permetterebbe al malintenzionato di ridurre il livello di sicurezza della connessione cifrata tra client e server, nelle situazioni in cui questa accetti algoritmi Rsa da 512 bit di tipo “export grade”.
Di che cosa si tratta? Il problema nasce proprio qui: nei primi anni Novanta il Governo Usa varò dei provvedimenti per obbligare i vendor di sicurezza che lavoravano con l’estero a “esportare” sistemi con livelli di protezione ridotti. I prodotti “migliori”, con chiavi più lunghe, dovevano per forza rimanere negli Stati Uniti. Fino a quando la potenza di calcolo offerta dai processori medi si è rivelata insufficiente per rompere questi codici, tutto è filato liscio. Ma, negli ultimi anni, gli hacker possono disporre di infrastrutture molto più performanti e riescono quindi a intrufolarsi con maggior facilità in connessioni considerate inviolabili fino a qualche tempo fa. Anche in quelle a 512 bit.
Infatti, secondo il Washington Post, oggi un hacker esperto potrebbe leggere le informazioni crittografate a 512 bit in sette ore di lavoro, sfruttando la potenza di calcolo di 75 computer: un piccolo esercito che può facilmente essere noleggiato da un provider cloud con cento dollari di spesa. Un’inezia, che potrebbe però costare cara a big di Internet. Il sito Freak Attack, nato per monitorare la minaccia, inserisce nella lista giganti come American Express, Bloomberg e Groupon.
Le restrizioni statunitensi sono state via via allentate ma ormai il danno è irrecuperabile, nonostante l’introduzione di protocolli più avanzati, come il Transport Layer Security. Secondo i ricercatori francesi, i client e i server a rischio sono quelli che utilizzano la suite Rsa_Export o che sfruttano OpenSsl. I dettagli della vulnerabilità, etichettata con la sigla Cve-2015-0204, sono consultabili sul sito del Common Vulnerabilites and Exposures. OpenSsl è corsa nel frattempo ai ripari, rilasciando una patch che dovrebbe sistemare il buco.