Poodle, nuova minaccia sul web
Una nuova vulnerabilità minaccia gli internauti. Dopo Heartbleed e Shellshock è la volta di Poodle, una falla che riguarda una vecchia versione del protocollo SSL che serve a crittografare lo scambio di messaggi via web. Bug che potrebbe dunque minacciare i dati personali di milioni di utenti. A diffondere la notizia è il blog di Google sulla sicurezza online.
Gli esperti spiegano che nonostante il protocollo SSL 3.0 (questo il nome della versione incriminata) abbia già 15 anni e non sia da tempo il principale standard di criptazione, è ancora supportato sia dai siti che dai browser, dove necessita di essere disabilitato. Al momento lo standard attuale e più sicuro di crittografia è il TLS. In caso però non riesca una connessione con un server Https – a differenza dell’Http indica una comunicazione crittografata – il sistema ritenta di connettersi usando versioni sempre più vecchie del protocollo, arrivando fino a quella incriminata.
Vista la vulnerabilità la falla può essere sfruttata per accedere ad informazioni crittografate, ad esempio una transazione bancaria. Come fare per difendersi? Google assicura che già nei prossimi mesi eliminerà il supporto a questo protocollo e nel frattempo spiega la procedura per disabilitarlo manualmente su Chrome. La disabilitazione è possibile anche su Explorer di Microsoft. E pure Mozilla ha pubblicato una nota in cui spiega che Firefox usa il protocollo SSL 3.0 solo nello 0,3% delle connessioni Https e che il supporto sarà eliminato nella prossima versione in arrivo il 25 novembre. (ANSA)
Cos’è Poodle, l’ultima falla di sicurezza scoperta da Google
Una nuova falla di sicurezza è stata scoperta in un protocollo di base utilizzato per la crittografia del traffico in Rete. La minaccia è stata chiamata Poodle (ossia barboncino), che letteralmente sta per Padding Oracle On Downgraded Legacy Encryption, ed è descritta in un documento pubblicato oggi da Bodo Moller, Thai Duong e Krzysztof Kotowicz, tre ricercatori che si occupano di sicurezza informatica per conto di Google.
Poodle riguarda il protocollo SSLv3, ossia la versione 3.0 (vecchia di 15 anni) del Secure sockets layer (Ssl), utilizzato per cifrare il traffico tra un browser e un sito web oppure tra client e server di posta elettronica. Anche se la vulnerabilità – dicono gli esperti – non sembra pericolosa quanto Heartbleed e Shellshock perché è rivolta al lato client e non a quello server, Poodle potrebbe consentire a un utente malintenzionato di decifrare i cookie che corrispondono a servizi come Twitter o Google, e quindi entrare negli account degli utenti senza bisogno di conoscere la password di accesso.
Per fortuna, la vulnerabilità esiste solo se si sta eseguendo javascript e se la sessione sta utilizzando il protocollo SSLv3. Inoltre l’hacker deve essere collegato alla stessa Rete della vittima, cioè ad esempio al medesimo wi-fi pubblico. Quindi solo le Reti aperte come nei bar o negli aeroporti potrebbero essere a rischio, mentre quelle private di casa non sono in alcun modo toccate dalla nuova falla. Di conseguenza, le potenzialità degli attacchi sono molto inferiori rispetto a quelli che possono esserecondotti in remoto da un qualsiasi computer collegato a Internet.
Il protocollo SSLv3 è l’unico utilizzato da Internet Explorer 6 perWindows XP, mentre per i software più aggiornati di solito si utilizza il Transport layer security (Tls) e SSLv3 rimane solo come alternativa in caso di malfunzionamenti o per il backup. Tuttavia, un hacker potrebbe declassare la connessione appositamente, e riuscire così a sfruttare la falla. Google ha raccomandato (qui ci sono le istruzioni complete) agli amministratori di sistema di disattivare il supporto per SSLv3, anche se potrebbero esserci problemi di connessione se qualcuno stesse ancora utilizzando quel protocollo. (fonte)
Valuteremo insieme se necessitate di un semplice consiglio, magari tramite le oltre 1.200 note già pubblicate, o se per risolvere preferite essere seguiti passo passo tramite un servizio professionale di teleassistenza (ai nostri fan, ma solo a loro, costa pochi euro). Siamo in grado di risolvere la quasi totalità dei problemi in teleassistenza, senza che voi o il vostro computer lasci la vostra abitazione, controllando insieme a noi cosa viene fatto sul vostro sistema. Altre informazioni 
