Appassionare alla scienza: la nostra collaborazione con Summer STEM Academylink
Security First

DROWN rende vulnerabili 11,5 milioni di siti

1 minuti lettura

DROWN è la nuova minaccia che sta mettendo a rischio di attacco più di 11 milioni di siti web e servizi di webmail, che fanno uso del protocollo TLS (tansfer layer security).
Questo attacco riesce a decifrare i dati delle comunicazioni in poche ore, se non istantaneamente, ed è in grado di aggredire anche siti protetti dal protocollo HTTPS.

Drown va ad intercettare le comunicazioni protette da TLS che si basano sul sistema crittografico RSA quando la chiave è esposta attraverso il protocollo SSLv2.

DROWN_diagram1

La vulnerabilità permette la lettura  della comunicazione utilizzando più volte  il protocollo SSLv2 per effettuare le connessioni con il server. Per ogni tentativo l’hacker riesce ad ottenere alcuni bit delle informazioni richieste.

Rimuovere il supporto SSLv2 dai browser non è sufficiente in quanto alcune implementazioni dei server TLS possono garantire ugualmente l’uso di SSLv2 per consentire la connessione.

Fino a che vi saranno ancora siti che supporteranno il protocollo SSLv2 (che risale ormai agli anni ’90), questi saranno da considerarsi potenzialmente vulnerabili. Allo stesso tempo anche server che non consentono connessioni attraverso questo protocollo possono essere suscettibili ad attacchi esterni se la chiave RSA viene riutilizzata su un server separato, che di fatto supporta il protocollo.
E’ per questo che il numero di siti suscettibili è così elevato.

OpenSSL ha corretto questa falla attraverso un aggiornamento drastico rilasciato martedì, rendendo del tutto impossibile abilitare connessioni via SSLv2 da parte dell’utente finale senza il consenso esplicito.
La patch rimuove anche il supporto per gli algoritmi di cifratura del protocollo che rendevano possibile l’attacco Drown.

I tecnici di Shellrent hanno già operato per arginare questa vulnerabilità rendendo sicuri tutti i server della propria struttura, scongiurando la minaccia di DROWN.

Se volete comunque avere maggiori informazioni vi segnaliamo l’articolo su drownattack.com.

Elena Ioverno

Note sull'autore
Sales Account Editor
Articoli
Articoli correlati
Security First

Come nascondere la versione di Nginx e Apache su Linux e Unix

4 minuti lettura
Se hai un web server con installato Nginx o Apache, negli headers o nelle pagine di errore il sistema mostra la versione…
Security First

Webmail: come creare una regola per filtrare le e-mail

1 minuti lettura
All’acquisto del tuo servizio di hosting ti mettiamo a disposizione un applicativo Webmail per consultare autonomamente la posta elettronica tramite qualsiasi browser…
Security First

Backup e disaster recovery: 2 diverse soluzioni in cloud

2 minuti lettura
Creare un backup ti permette di avere una copia a disposizione da ripristinare in caso di inconvenienti: è sinonimo di sicurezza e…