Paura HTTPS, un attacco mette in pericolo migliaia di servizi internet

Si tratta di una debolezza scovata nello scambio di chiavi Diffie-Hellman che potrebbe causare un furto di dati crittografati

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Potremmo essere davanti ad un altro Heartbleed se non peggio. Decine di migliaia di siti web con protezione HTTPS, server mail e altri servizi internet potrebbero essere vulnerabili ad un attacco remoto in grado di rubare dati e informazioni sensibili, anche crittografate, a causa di un problema di sicurezza del famoso scambio di chiavi Deffie-Hellman. La vulnerabilità, secondo Ars Technica, riguarderebbe circa l’8,4% del milione di siti web più visitati al mondo e una più larga fetta di piattaforme di posta elettronica che utilizzano il protocollo IPv4. L’attacco, che i ricercatori hanno chiamato Logjam, può essere portato avanti sfruttando la falla nel Diffie-Hellman, il sistema risalente al 1976 che consente a due entità di scambiare una chiave condivisa e segreta su un canale insicuro, da impiegare poi per decriptare le comunicazioni e i file.

Privacy a rischio

La debolezza informatica pare essere il risultato della decisione del governo statunitense di controllare il software esportato all’estero. L’amministrazione Clinton aveva infatti stabilito la legittimità della violazione, da parte dell’FBI e delle altre agenzie federali, dei sistemi di crittografia utilizzati da soggetti e autorità straniere come forma preventiva di controllo. Hacker abili nel tracciare la connessione tra un utente finale ed un server che abilita lo scambio di chiavi Diffie-Hellman, può inserire uno speciale payload nel traffico così da ridurre la capacità dei sistemi di crittografia fino a consentire una protezione con chiave a 512-bit la cui traduzione per gli smanettoni è un gioco da ragazzi. “Logjam ci dimostra come sia terribile l’idea di rendere appositamente innocua la crittografia – ha detto J. Alex Halderman, uno dei ricercatori che ha analizzato la debolezza – è una cosa che va avanti dal 1990 e che l’FBI e gli altri organi chiedono di proseguire. Il punto è che se sfruttano loro la falla possono farlo anche gli altri, mettendo a serio rischio la privacy di milioni di navigatori”.

Leggi anche:  Kaspersky rivela un nuovo metodo per rilevare lo spyware Pegasus

Futuro incerto

Cosa succederà ora è da capire. Difficilmente il governo tornerà indietro facendo a meno di uno strumento che fino ad oggi ha permesso di monitorare, senza saperlo, i computer e le scorribande informatiche di persone in giro per il mondo. Difficile anche che avvenga un embargo verso l’estero visto che l’adozione di software made in USA è tale da non permettere un abbandono di massa. La palla a questo punto passa ai paesi storicamente ostili agli Stati Uniti che potrebbero fare pressione sulla comunità internazionale per far adottare misure più restrittive in fase di sviluppo.