| HT news
| InternetUna grave falla minaccia SSL
di Stefano Bellasio
SSL, il noto protocollo utilizzato per la gestione delle connessioni protette, soffre di alcune gravi falle, presenti direttamente all'interno del protocollo. La scoperta era già nota, e un team di esperti di sicurezza ci stava lavorando, con il piano di rivelare la falla solamente il prossimo anno, tuttavia un esperto di sicurezza informatica ha scoperto la falla e ha deciso di segnalarla sulla mailing list di IETF. Marsh Ray e Steve Dispensa sono i due scopritori della falla (, lo scorso Agosto avevano segnalato la cosa e, in gran segreto, a Settembre, erano iniziate le discussioni per affrontarne la risoluzione.
Il funzionamento di SSL.
SSL è alla base di un gran numero di applicazioni, basti pensare ai collegamenti HTTPS, resi possibili grazie all'utilizzo di certificati SSL. Di che gravità si parla? Molto alta, si tratta di una falla che consente di introdursi nella connession crittografata avendo piena libertà di azione, dato che i dati al suo interno potrebbero essere semplicemente modificati per iniettare codice maligno, per loggare quanto inviato o ancora per fingere una falsa identità. Il problema è chiaramente spiegato in un articolo dei due scopritori, ma i parere riguardo la sua gravità sono discordanti, alla risoluzione della patch stanno lavorando diverse aziende, tra le più in vista nel panorama IT mondiale, ma la maggior parte sembra rassicurare in merito alla sicurezza degli utenti che usano SSL nel web, VeriSign, tra le più note nella vendita di certificati SSL, parla di una falla che non rappresenta un pericolo per i dati scambiati, mentre gli stessi scopritori dicono che gli effetti di un possibile exploit potrebbero andare a colpire proprio l'integrità dei dati scambiati.
Attualmente sarebbe già stato delinato un piano per la correzione del problema, nel modo più lineare possibile per utenti e aziende.