5070 Letture

Logjam, nuovo attacco alla sicurezza di HTTPS

Una nuova vulnerabilità, scoperta nell'implementazione del protocollo TLS, utilizzato per crittografare le informazioni trasmesse tra server e client (e viceversa) adoperando HTTPS, minaccia la riservatezza delle comunicazioni verso decine di migliaia di macchine connesse alla rete Internet.

La falla di sicurezza, che ricorda quella battezzata FREAK (FREAK: dati personali a rischio su connessioni HTTPS), sfrutta - in particolare - una lacuna nella procedura di scambio delle cosiddette chiavi Diffie-Hellman che consentono a due parti mai incontratesi prima di negoziare l'uso di una chiave privata nonostante il mezzo di comunicazione sia intrinsecamente insicuro.

Battezzata Logjam, la vulnerabilità è il risultato di un'imposizione del governo statunitense degli anni '90 (amministrazione Clinton).
All'epoca fu prescritto agli sviluppatori software che intendessero esportare i loro prodotti al di fuori dei confini nazionali, di adottare un algoritmo che potesse essere violato da parte dell'FBI in caso di esigenze di controllo e sicurezza.


Secondo i crittografi che hanno portato oggi alla luce il problema Logjam, allo stato attuale solo Internet Explorer sarebbe stato aggiornato in modo tale da negare l'utilizzo di chiavi Diffie-Hellman deboli (da 512 bits).
Il browser Microsoft evita infatti che gli utenti collegatisi ad un server HTTPS non si vedano obbligati ad utilizzare l'algoritmo Diffie-Hellman nella sua forma più debole. Diversamente, un aggressore, postosi del mezzo della comunicazione tra client e server, potrebbe iniettare pacchetti dati malevoli capaci di indurre le due parti ad utilizzare una debole chiave crittografica da 512 bit durante la fase di negoziazione della connessione cifrata.

Chrome, Firefox e Safari sono al momento interessati dal problema ma, grazie alla collaborazione dei ricercatori con le varie aziende, aggiornamenti correttivi saranno rilasciati nel giro di qualche settimana.


Questa pagina permette di stabilire se il proprio browser sia o meno esposto alla vulnerabilità e di consultare le statistiche più aggiornate sul numero di server interessati.

  1. Avatar
    Mago di Oz
    21/05/2015 00:41:00
    Il mio Firefox ESR 38.0.1 è OK! :approvato: Non conosco il perché sia OK ma sono contento lo stesso. :D Ciao
  2. Avatar
    Johannes
    21/05/2015 00:11:38
    Il mio vecchio Opera 12.17 NON è vulnerabile. A connessione in corso mi avverte che la connessione è insicura e mi chiede se accettarla o meno. Rifiutando di proseguire il risultato del test è: Good News! Your browser is safe against the Logjam attack. Buon vecchio Opera! Johannes
  3. Avatar
    gilparo
    20/05/2015 23:07:19
    Ho appena aggiornato Chrome alla versione 43.0.2357.65 e risulta vulnerabile!
  4. Avatar
    Leg@l4s
    20/05/2015 19:51:06
    Opera è vulnerabile :guardaintorno:
  5. Avatar
    Sampei Nihira
    20/05/2015 18:10:24
    Altro punto a favore di Firefox rispetto a Chrome che mi pare.......vulnerabile !! :ahsisi:
  6. Avatar
    Sampei Nihira
    20/05/2015 17:11:13
    Il mio Firefox non è esposto. Come è possibile notare nell'immagine sotto: http://s18.postimg.org/iychu9bt1/Immagine.jpg I vostri browser lo sono ?
Logjam, nuovo attacco alla sicurezza di HTTPS - IlSoftware.it