Attenzione al #FREAKAttack


FREAK è l’acronimo di Factoring RSA Export Keys.
Si tratta del termine con cui si identifica un exploit di sicurezza, relativo alle chiavi pubbliche e private di una comunicazione crittografata, venuto alla ribalta solo ai primi di marzo del 2015, nonostante si basi su una vulnerabilità risalente a decenni fa.

All’inizio degli anni ’90 del secolo scorso, con il diffondersi delle connessioni internet su computer sempre più accessibili anche a privati, fu introdotta una vulnerabilità nei protocolli SSL/TLS per rispettare la normativa degli Stati Uniti a riguardo all’esportazione di tecnologie crittografiche all’estero. Con il termine RSA_EXPORT gli USA hanno idetificato la limitazione delle chivi pubbliche alla dimensione di 512 bits quando usate in prodotti distribuiti fuori dalla nazione. La ragione di questa decisione era di permettere alla NSA, dotata di ingenti capacità di elaborazione, di violare la chiave con metodi di brute force attack potendo quindi accedere anche a dati cifrati in caso di necessità. Nel contempo, idealmente nessun’altra organizzazione avrebbe potuto raggiungere lo stesso scopo non disponendo di sufficiente potenza elaborativa, fornendo quindi una ragionevole garanzia di privacy agli utilizzatori finali.

Questo trent’anni fa: con l’evolvere della capacità di calcolo dei computer, oggi è possibile forzare una chiave di questa lunghezza con un modesto cluster di macchine economiche, o addirittura usando le risorse del cloud computing prendendo semplicemente in affitto la capacità necessaria per il tempo sufficiente a concludere un attacco.

Usando l’algoritmo General number field sieve e tecniche di attacco basate sul concetto di Man-in-the-middle, un attaccante terzo può compromettere una connessione HTTPS legittima fra un utente e il relativo server web nel caso sia permesso nella sua configurazione l’uso di chiavi export-grade.

E’ opportuno per amministratori di sistema e utenti documentarsi quanto prima su questa vulnerabilità: è stata scoperta il 3 marzo da ricercatori di IMDEA, INRIA e Microsoft Research, il suo CVE identifier è CVE-2015-0204.
E’ introdotta in questa pagina sulla Wikipedia http://en.wikipedia.org/wiki/FREAK.

La risorsa probabilmente più utile è il sito https://freakattack.com/ – mantenuto dalla University of Michigan – che effettua automaticamente un test sul browser dell’utente e consente di verificare nel contempo i prodotti software e i siti conosciuti come vulnerabili.

Proprio da quel sito trovate il link a un post del Professor Matthew Green che, dopo aver spiegato le basi di FREAK, si conclude in maniera quasi comica con questa nota:

Export controls might have made some sense in the days when ‘encryption’ meant big clunky pieces of hardware, but it was nonsensical in a world of software. Non-U.S. users could easily skirt the paltry IP-address checks to download strong versions of browsers such as Netscape, and — when that was too much trouble — they could easily re-implement the crypto themselves or use foreign open source libraries. (The requirements became so absurd that mainstream U.S. companies like RSA Security wound up hiring foreign developers to build their encryption libraries, since it was easier to import strong encryption than to export it.)


2 risposte a “Attenzione al #FREAKAttack”

  1. […] del protocollo TLS, utilizzato anche da HTTPS. Il metodo è molto simile a quello utilizzato per FREAK: un attacco di tipo MitM forza la connessione tra client e server ad un livello di sicurezza molto […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *