Dopo le clamorose (e dannose) scoperte di Heartbleed e Shellshock sembra che il mondo della sicurezza online inizi pericolosamente a vacillare: sfortunatamente condizioni del genere possono verificarsi in qualsiasi momento e, nella maggior parte dei casi, la “colpa” non è imputabile a chi si occupa dei software coinvolti.
Il problema è la rapidità con cui queste vulnerabilità stanno venendo fuori: l’ultimo esempio di problema grave arriva direttamente dai laboratori Google, dai quali durante le scorse ore è venuta fuori una ricerca riguardante una vulnerabilità severa che coinvolge SSLv3: POODLE.
Il nome è tutto un programma: POODLE – che non ha niente a che vedere con i dolci barboncini – sta infatti per “Padding Oracle On Downgraded Legacy Exception” ed è di fatto il principio su cui si basa la vulnerabilità. Sebbene SSLv3 – già considerato insicuro – sia ormai stato sostituito da TLS 1.0, 1.1 e 1.2, per problemi di retrocompatibilità alcuni browser sono ad oggi costretti a supportarlo.
Ed è questo il principio su cui si basa la vulnerabilità: un sito web scritto ad-hoc potrebbe costringere il browser ad usare questa sorta di “fallback” mode forzando una connessione sicura – di default gestita con TLS – ad essere gestita con SSLv3; a quel punto gli utenti malintenzionati possono assestare un attacco Man-in-the-middle, rubando le informazioni contenute nei cookie e divenendo potenzialmente in grado di fingersi l’utente vittima.
Questo non rappresenta un grosso problema per gli utenti consumer ma potrebbe coinvolgere i gestori dei server che, per buona pratica, dovrebbero cercare di eliminare il supporto ad SSLv3 senza impattare l’usabilità dei loro servizi.
Fortunatamente non sono ancora noti casi di sfruttamento di POODLE, di fatto scoperto all’interno dei laboratori Google; inoltre Google ha annunciato che eliminerà definitivamente il supporto ad SSLv3 nei mesi seguenti, mentre Mozilla ha annunciato che eliminerà la retrocompatibilità con SSLv3 dal suo browser a partire da Firefox 34 (previsto per il 25 Novembre).
