Poodle, ecco come proteggersi dal virus che attacca il nostro navigatore web

Negli ultimi mesi ci siamo abituati a convivere con tutta una serie di nuove vulnerabilità, alcune terribili come Heartbleed o anche ShellShock. Ebbene l'ultima grande minaccia si chiama Poodle ed è frutto di una falla si sicurezza su SSL v3.0.
del 30/10/14 - di Alessandro Elia

Poodle in inglese significa 'barboncino' anche se in realtá si tratta di una sigla (Padding Oracle On Downgraded Legacy Encryption) e la sua origine va cercata in un errore di sicurezza presente in una libreria della cifratura SSL ormai obsoleta però che garantisce ampia compatibilità, essendo presente come opzione in quasi tutti i navigatori. Nella cattura scattata da uno dei nostri computer con Internet Explorer è possibile vedere che viene abilitato automaticamente.

SSL è la versione di cifratura che più tardi divenne TLS, lo standard utilizzato attualmente e più diffuso. Ciò nonostante quando si rileva una qualche incompatibilità con l'agente che realizza la richiesta di connessione (nel caso magari di un browser non nuovissimo), il server realizzerà l'operazione di cifratura, richiamando lo standard SSL v3.0 o anteriore. Poodle insomma colpisce sia navigatori web che server.
Inoltre, anche se client e server supportano una delle ultime versioni di TLS, il protocollo è flessibile e permetterà la negoziazione (chiamata "downgrade dance"). L'attacco Poodle, come detto, si inserisce nel caso in cui fallisca la connessione sicura tramite TLS. Se un hacker è in grado di creare o simulare tale errore, potrà facilmente forzare l'utilizzo di SSL 3.0 e portare a termine il suo attacco.

Conseguenze di Poodle
L'attacco del barboncino metterebbe a disposizioni di terzi nostri dati personali relativi all'inizio sessione, come:
- Cookies
- Password
- Token di autentificazione

Con questi dati, l'hacker potrebbe ottenere accesso completo a un sito web, rubando la nostra identità o quella di un amministratore e creare problemi accedendo alla base dati.
La buona notizia è che si tratta di attacchi complicati e richiedono una certa conoscenza da parte del pirata informatico. Nulla a che vedere con i massivi 'script kiddies'.

Consigli per gli amministratori
Alcuni dei ricercatori che scoprirono questa vulnerabilità hanno sviluppato delle patch che in parte risolvono il problema. TLS_FALLBACK_SCSV è un'estensione di protocollo che impedisce agli hacker del tipo MiTM (man in the middle) di forzare il downgrade al protocollo SSL v3.0. Un'approssimazione adottata dagli sviluppatori di Open SSL e raccomadata nelle sue tre versioni:

• Utenti di OpenSSL 1.0.1 devono aggiornarsi alla 1.0.1j.


• Utenti di OpenSSL 1.0.0 devono aggiornarsi alla 1.0.0o.


• Utenti di OpenSSL 0.9.8 devono aggiornarsi alla 0.9.8zc.

Come disabilitare il supporto per SSL 3.0
- Per disabilitare questo metodo sul vostro server Apache, scrivete:

SSLProtocol All -SSLv2 -SSLv3

Questo comando offre accesso esplicito agli standard TLS (dalla versione 1.0 alla 1.2), escludendo completamente SSL. Riavviate il server e verificate i parametri introdotti:

apachectl configtest
sudo service apache2 restart

- Per disattivare SSL v3.0 su NGINX scriveremo:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2

Il risultato è simile al precedente caso, scarta tutto ciò che funziona con lo standard SSL e opereremo solo con TLS, dopo aver verificato il parametro:

sudo nginx -t
sudo service nginx restart

- Per disabilitare SSL 3.0 su server IIS (Internet Information Services) avremi bisogno di modificare alcuni parametri nel registro. Cerchiamo l'entrata:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

All'interno dei protocolli avremo una cartella chiamata SSL 2.0: basterá crearne una nuova chiamandola SSL 3.0 se non è già presente. Sotto questa cartella crearemo una sotto-cartella chiamata 'Server' e qui dentro inseriremo un valore WORD dandogli il comando 'Enabled' con numero '0' assegnato. Riavviamo tutto e verifichiamo i cambi.

- Infine, introdurremo il nostro dominio nel test SSL di Qualys per vedere il risultato.

Consigli per gli utenti
Per prima cosa, disabilita le opzioni di supporto per SSL 3.0 in 'Programmi e Applicazioni' in modo da eliminare gran parte dei problemi.
Inoltre potremo anche lanciare un plugin di SSLLabs che ci indicherá all'istante se il navigatore web che usiamo è vulnerabile. In caso di notifica, occorrerá intervenire all'istante e disabilitare lo standard SSL.

© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere