Condizioni d'uso, diritti d'autore, disclaimer e commenti. Leggi il regolamento >>

Attacco “POODLE”: cos’è e come proteggere i dati personali disattivando SSL 3.0

lunedì 20 ottobre 2014

Quando ci si collega ad un sito che gestisce informazioni e dati sensibili che non devono essere letti da persone non autorizzate, la connessione deve avvenire sempre tramite il protocollo HTTPS con l'aggiunta del protocollo crittografico SSL/TLS nonchè di un certificato digitale.


Tra client, server e viceversa quindi quindi stabilita una comunicazione cifrata attraverso lo scambio di certificati digitali i quali vengono utilizzati per attestare l'identità del sito.

In questo modo il browser, quando si collega al server remoto, può stabilire se il sito è autentico e se corrisponde a quello che effettivamente dichiara di essere.

A questo punto il certificato risulta firmato da un'autorità di certificazione riconosciuta ed il browser concede il “nulla osta” ai fini della cifratura asimmetrica per scambiare i dati in modo sicuro.

Per far transitare in maniera sicura i dati attraverso il canale di comunicazione client/server ci si appoggia a meccanismi crittografici come SSL (Secure Sockets Layer) o TLS.

E’ inoltre normale convinzione (sbagliata) che i dati scambiati attraverso una connessione HTTPS non possano mai essere sottratti da parte di malintenzionati.

Se però vi sono delle vulnerabilità nei protocolli utilizzati, anche questi ultimi possono diventare leggibili da persone non autorizzate.

In cosa consiste l'attacco "POODLE"
L'attacco denominato “POODLE” (Padding Oracle On Downgraded Legacy Encryption) può quindi consentire a malintenzionati di porsi nel mezzo della conversazione client/server/client ponendo in essere un attacco del tipo “Man-In-The-Middle” ed intercettando così le informazioni in transito.

Sebbene Google e Mozilla abbiano già dichiarato di avere l’intenzione di rimuovere il supporto SSL 3.0 già dalle prossime versioni di Chrome e Firefox vediamo come difenderci nel frattempo.

Innanzitutto verifichiamo se il browser è a rischio avviando il test client di Qualys.

Tale test proverà ad effettuare una connessione HTTPS utilizzando le varie versioni di SSL e TLS presenti nel browser.

La comparsa del messaggio “Your user agent is vulnerable. You should disable SSL 3” indicherà che il browser utilizzato permette connessioni HTTPS appoggiandosi sul protocollo SSL 3.0.

Come disattivare SSL 3.0 

Mozilla Firefox 
Digitiamo nella barra degli indirizzi il comando “about:config” (senza virgolette) e cerchiamo la stringa:

security.tls.version.min 

Clicchiamo due volte sul parametro e modifichiamo il valore su 1.

Chiudiamo la scheda e riavviamo il browser.


Google Chrome 
Al fine di disabilitare SSL 3.0 in Chrome è necessario fare in modo che il browser venga sempre avviato utilizzando l'opzione aggiuntiva “--ssl-version-min=tls1”.

Procediamo cliccando con il tasto destro del mouse sul collegamento del browser, selezioniamo la voce “Proprietà” e spostiamoci sulla scheda “Collegamento”.

Nel campo “Destinazione”, dopo le doppie virgolette se presenti, aggiungiamo il comando:

 --ssl-version-min=tls1 

e salviamo le modifiche.

Internet Explorer 11 
Per disattivare SSL 3.0 in Internet Explorer è necessario accedere alle “Opzioni Internet” del browser, cliccare sulla scheda “Avanzate” e togliere il flag dalla casella “Usa SSL 3.0” (sezione Sicurezza).

Ripetendo il test di Qualys non dovremmo avere più problemi.

"Consigliamo, prima di utilizzare software che potrebbero modificare la configurazione del sistema operativo, di creare un’immagine del disco fisso ed eseguire un backup dei dati"

Nessun commento:

Posta un commento

L'archivio di TechnoGeek