Home News Vulnerabilità RSA di 19 anni fa affligge molti siti moderni: Facebook corre ai ripari

Vulnerabilità RSA di 19 anni fa affligge molti siti moderni: Facebook corre ai ripari

da Alvise C.
Pubblicato: Aggiornato il: 0 commenti 2 minutes Leggi
A+A-
Reset

La vulnerabilità RSA di cui stiamo parlando risale al lontano 1998, anno in cui è stata scoperta, denominata ROBOT, dal ricercatore Daniel Bleichenbacher: è riscuscitata dopo la scoperta di tre ricercatori (due tedeschi ed uno statunitense) i quali hanno indicato che la vulnerabilità TLS colpisce ancora oggi diversi siti moderni, si tratta di 27 domini tra i 100 più famosi  dalla lista di Alexa.

Come funziona

I domini vulnerabili usano la RSA Encryption o ne supportano ancora l’uso insieme ad altre forme superiori di sicurezza, grazie all’uso dell’RSA è possibile per un attaccante di  creare delle query designate a provocare  degli errori nel server TLS e a rivelare la chiave pubblica della sessione in essere, cosa che permette di registrare il traffico web e di decriptarlo successivamente, oppure in alternativa è possibile anche eseguire un attacco del tipo Man-in-the-Middle.

La situazione è venuta a crearsi grazie al fatto che in principio, in merito alla vulnerabilità ROBOT, sono state prese solo delle contromisure mantenendo però gli stessi metodi di criptazione, infatti il problema risiede proprio nella RSA Encryption che ora espone moltissimi siti ad essere vulnerabili, tra i quali troviamo giganti del calibro di Facebook, Paypal e molti altri.

Facebook e Paypal hanno corretto la vulnerabilità nel mese di ottobre, rimangono però molti altri domini vulnerabili, Cisco ha pubblicato un advisory di livello Medio, rimangono altri sette fornitori vulnerabili come da lista reperibile qui.

I ricercatori hanno pubblicato uno strumento online per verificare lo stato del proprio server oppure un tool scaricabile da Git-Hub.

Approfondimento e fonte: https://robotattack.org/

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.