Cybersecurity

Vulnerabilità POODLE: cos’è e come liberarsene

18 Novembre 2014

POODLE è una vulnerabilità comparsa nella seconda metà di ottobre e, benché non siano ancora stati divulgati siti e servizi che ne sono affetti, si tratta di una problema abbastanza grave.


In sintesi è un problema di sicurezza nel protocollo SSL 3.0, quello utilizzato per realizzare sessioni sicure sui siti web.
Facendo leva su questa vulnerabilità, un hacker malintenzionato può accedere e decifrare la sessione criptata e quindi leggere in chiaro le informazioni che vengono trasmesse.
 
Cos'è POODLE
 
La vulnerabilità POODLE si basa su un problema (scoperto di recente) del vecchio protocollo SSL 3.0 presente all’interno dei sistemi operativi.
Questo protocollo ha visto la luce nel 1996 e negli anni è stato superato dal più robusto TLS, ufficialmente rilasciato nell’agosto del 2008 nella versione 1.2.
 
Benché SSL 3.0 sia un protocollo ormai vecchio, molti siti e browser lo supportano per motivi di compatibilità con il passato.
Per risolvere alla base il problema è necessario rimuovere il protocollo SSL 3.0 e lavorare con il solido TLS.
Questa vulnerabilità può, almeno in linea di principio, colpire chiunque utilizzi un'applicazione o servizio web basato su sessioni SSL… e le applicazioni sono tante!
 
Come scoprire se i tuoi servizi sono vulnerabili
 
Sia che tu acceda a dei servizi online, sia che tu eroghi servizi, c’è solo un modo per scoprire se sono vulnerabili: fare questo test. Basta inserire il sito/dominio e verificare il risultato.
Alla fine del test viene prodotto un risultato simile a quello riportato in figura.
 

 
Se vuoi fare una verifica lato client, ossia scoprire lo stato del tuo browser, questo è il test da effettuare
 
Come disabilitare SSL 3.0
 
Un semplice ma efficace strumento per eliminare SSL 3.0 dal vostro server web è fornito da Nartac.
 

 
E’ sufficiente lanciarlo sul proprio server, deselezionare il protocollo SSL 3.0 e riavviare il sistema.
Attenzione: il sistema va riavviato a mano, non lo farà l’utility.
 
Nota importante

Non eliminate SSL 3.0 a cuor leggero dai vostri server: assicuratevi prima che le vostre applicazioni possano girare anche solo in TLS (il protocollo successivo a SSL).

 
Buona sicurezza a tutti!
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)

In effetti prima di eliminare i protocolli dai propri siti/servizi occorre valutare quali browser(= clienti e utenti) si tagliano fuori.

Claudio Panerai,

E’ bene lasciare solo i TLS e rimuovere anche i Cipher RC2, RC4 e DES. Viene anche consigliato di rimuovere l’Hash MD5. Non che alla fine resti molto, sicuramente i browser IE8 non si collegheranno più al sito.
Sarà necessaria modificare anche la configurazione di accesso del lato server di RDP, altrimenti niente desktop remoto.
Ma siamo sicuri che sia sicuro, per la nostra sicurezza, usare gli accessi https ritenuti una garanzia di sicurezza 🙂

Emilio Polenghi,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.