Ci risiamo: ecco #DROWNAttack

Sono passati dodici mesi da quando il cosiddetto FREAK Attack ha scatenato il panico su internet: oggi parliamo di un altro rischio nella sicurezza di portata simile.

Si chiama DROWNAttack, ovvero Decrypting RSA with Obsolete and Weakened eNcryption, è un attacco che sfrutta una debolezza nella versione 2 del protocollo SSL. Questa debolezza non è frutto di un errore, ma di una scelta progettuale dovuta alle restrizioni esistenti negli anni ’90 sulla esportazione di tecnologie crittografiche dagli USA verso l’estero. La storia di come queste restrizioni siano state concepite e di quale danno abbiano provocato dovrebbe essere già noto a tutti, segnalo comunque al lettore interessato la esaustiva pagina su Wikipedia.

Il funzionamento di DROWN è spiegato in questo documento tecnico completo, tuttavia riassumeremo qui di seguito il suo modus operandi a grandi linee. Leggi tutto “Ci risiamo: ecco #DROWNAttack”