SSL di nuovo compromesso da una falla chiamata Poodle, scoperta recentemente dai ricercatori Google.

Nessun riferimento a cani e barboncini, Poodle è l’acronimo di Padding Oracle On Downgraded Legacy Encryption e ha già mandato in tilt diverse unità.

Il nuovo bug pare essere molto simile a Heartbleed, di cui condivide il bersaglio al protocollo SSL, ma non sembra altrettanto pericoloso, richiede solo una certa cautela.

Come funziona

Il protocollo SSL protegge i dati dell’utente sul terminale e sul sito web che sta visitando, crittografandoli e oscurandoli.

Se ci fosse una falla in SSL, un hacker potrebbe fare da intermediario, rubare i dati e spedire tutt’altro.  Poodle riguarda la versione 3.0 di SSL, che è obsoleta da più di 10 anni. Tuttavia, è ancora supportata e se viene riattivata apposta per questo attacco, la sicurezza viene compromessa del tutto.

L’unica situazione in cui non esiste possibilità di proteggersi è quando la pagina visitata dall’utente supporta esclusivamente SSL 3.0, e ciò accade solo quando un server fallisce una connessione e prova a riconnettersi con un altro protocollo, magari cadendo nuovamente in questa versione, leggesi “downgrading”.

Downgraded legacy encryption

Un hacker navigato potrebbe quindi causare problemi di connessione e fare da trigger per aprirsi la strada.

La soluzione di Google

La soluzione fornita da Google è  TLS_FALLBACK_SCSV. Trattasi di un meccanismo che risolve la falla impedendo al browser di passare a SSL 3.0.

L’utente ha poche armi per difendersi, e sta qui ai webmaster la missione di restare aggiornati. Indubbiamente tutti i browser verranno presto patchati, ed è buona norma passare alla versione più aggiornata.