Cos’era DROWN, la vulnerabilità HTTPS che interessava 13 milioni di siti web

Si torna a parlare di HTTPS e di una sua potenziale falla che, in questo caso, sembra avere un spettro piuttosto ampio: i dettagli tecnici forse non saranno molto familiari a tutti, ma è bene tenere presente che il rischio c’è per quanto si stiano già prendendo importanti provvedimenti per mitigare i rischi.

Circa il 33% dei siti sarebbe interessato, nello specifico, a questa nuova vulnerabilità sul TLS, che permetterebbe ad un attaccante di decriptare il contenuto della comunicazione protetta sfruttando ripetute connessioni al server via SSLv2. Una versione peraltro disabilitata nella maggioranza degli scenari che potrebbe, tuttavia, essere abilitata dai browser su richiesta e sfruttare cosଠuna errata configurazione di TLS. OpenSSL è interessata al problema, ma oggi stesso sembra che sia uscito un aggiornamento della libreria che possa risolvere o limitare il problema.

Secondo il sito ufficiale DROWN (questo il nome assegnato alla vulnerabilità ) metterebbe a rischio la riservatezza delle comunicazioni all’interno di vari siti configurati con HTTPS, sottraendo potenzialmente username, password, numeri di carte di credito, email, messaggistica istantanea e documenti sensibili, a seconda dei casi. La pericolosità della falla è evidenziata dal fatto che, a differenza di altri tipi di attacchi per cui gli utenti comuni possono mitigare almeno in parte gli effetti, non sembra esserci modo di fare nulla di concreto, per cui la responsabilità sembrerebbe ricadere interamente sulle configurazioni dei server.

Se in generale quindi le comunicazioni client/server avvengono via TLS, in alcune configurazioni viene ancora supportato SSLv2, un vecchio protocollo anni 90 che può essere forzato da uno script malevolo. Tutti i server che supportano ancora SSLv2 (si parla del 17% delle configurazioni HTTPS, a cui bisogna aggiungere un ulteriore 17% dei server che condividano una chiave privata con almeno un’altra applicazione che supporti SSLv2) dovrebbero quindi disabilitarlo, visto che potrebbe permette ad un utente malintenzionato di spiare le sessioni di login o di acquisto via carta di credito effettuate online sul sito.

Consultando il servizio all’indirizzo https://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm oppure test.drownattack.com (questo interessa soprattutto hosting, gestori di siti e relativi sistemisti) è possibile, seppur con qualche grado di incertezza (le falle potrebbero già essere state mitigate, nel frattempo), verificare se il sito che si sta gestendo sia interessato alla vulnerabilità (l’immagine è tratta da drownattack.com).