Falla in HTTPS mette a rischio 11 milioni di siti Web

SicurezzaSoluzioni per la sicurezza
Falla in HTTPS mette a rischio 11 milioni di siti Web
2 29 Non ci sono commenti

Sono vulnerabili alla temibile falla Drown un quarto dei domini top-level con HTTPS ed un terzo di tutti i siti

È stata individuata (Pdf) una grave vulnerabilità nel protocollo di sicurezza HTTPS che potrebbe esporre a rischio 11 milioni di siti web, oltre ad altri servizi che usano la crittografia SSL e TLS.

Falla in HTTPS mette a rischio 11 milioni di siti Web
Falla in HTTPS mette a rischio 11 milioni di siti Web

I protocolli di sicurezza si sono diffusi per crittografare le transazioni web ed altro traffico altamente sensibile. HTTPS è stato sviluppato per proteggere la navigazione in Rete con browser in un’era di cyber sorveglianza di massa.

La falla, chiamata Drown, potrebbe essere usata per accedere a tutte le tipologie di informazioni sensibili: “Drown permette a  cyber criminali d’infrangere la crittografia e leggere o trafugare comunicazioni sensibili, incluse password, carte di credito, segreti commerciali e dati finanziari. Le nostre misure  indicano che il 33% di tutti i server HTTPS sono vulnerabili all’attacco“, scrivono i ricercatori.

Sono vulnerabili un quarto dei domini top-level con HTTPS ed un terzo di tutti i siti.

A causa di configurazioni sbagliate, molti server ancora supportano SSLv2, il predecessore anni ’90s di TLS“, una crittografia datata e ormai insicura.

Drown mostra che il solo supporto a SSLv2 costituisce una minaccia ai danni di server e client moderni. Permette a malintenzionati di decifrare moderne connessioni TLS fra client aggiornati e server, tramite i server che invece supportano (l’insicuro, ndr) SSLv2 ed utilizzano la stessa chiave privata.”

Per proteggersi contro Drown, chi mantiene i server deve assicurarsi che le chiavi private non siano mai usati laddove i software server permettano connessioni (insicure, ndr) SSLv2. Inclusi: server web, server SMTP, server IMAP e POP ed altri software che supportano SSL/TLS“.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore