Dopo Heartbleed e Shellshock arriva Poodle

Tre ricercatori di Google hanno rilevato una falla di sicurezza nella tecnologia più usata per crittografare dati su internet. Pericolo hacker in agguato

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

L’hanno chiamata “Poodle”, che sta per “Padding Oracle On Downloaded Legacy Encryption” ma che suona dannatamente bene anche come storpiamento di Google o doodle. Quello a cui si riferisce è un pesante problema di sicurezza che interessa uno degli standard di sicurezza web più usato negli ultimi 18 anni: l’SSL 3.0. Si tratta del terzo problema che aggrava la situazione dell’insicurezza informatica già colpita al cuore da Heartbleed e qualche settimana fa da Shellshock. Gli esperti di sicurezza di Google hanno spiegato come Poddle potrebbe consentire agli hacker (o peggio ai cracker) di rubare i cookies del browser utilizzato e intercettare i dati contenuti in email, transazioni finanziarie e social network.

Cosa potrebbe succedere

“Se Shellshock e Heartbleed erano classificabili a livello 10 di pericolo, Poodle potrebbe stare al 5 o 6 posto” – ha detto Tal Klein, vice presidente dell’azienda di sicurezza Adallom. La falla è stata pubblicata sul sito web dell’OpenSSL Project, che sviluppa il software di crittografia di tipo SSL più utilizzato al giorno d’oggi. In realtà il pericolo che ci fosse un grave problema era già circolato da diversi giorni in rete, mettendo sull’allerta gli specialisti. Ma non tutti sono d’accordo con la pericolosità di Poodle. Secondo Ivan Ristic, direttore delle applicazioni di sicurezza della Qualys: “Poodle non è grave come i precedenti bug scoperti nel 2014 – spiega – perché prevede una serie di privilegi più complicati da ottenere per eseguire un attacco”. Ad ogni modo Google ha affermato come presto rimuoverà il supporto all’SSL 3.0 da tutti i client offerti se non si riuscirà a trovare un modo per mettere in sicurezza la versione del protocollo.

Leggi anche:  Una ricerca di Zscaler ThreatLabz mostra un aumento di quasi il 50% degli attacchi di phishing