Che cosa significa FREAK? FREAK è l’abbreviazione di Factoring Attack on RSA-EXPORT Keys (noto anche con il nome di man-in-the-middle – MitM) e riguarda una vulnerabilità causata dalla crittografia non abbastanza robusta di un sito web.
In sintesi, quello che succede è che i siti che implementano tecnologia SSL (Secure Sockets Layer) utilizzano sia algoritmi di crittografia forti, sia algoritmi di crittografia deboli. Le connessioni divrebbero essere basate su algoritmi di sicurezza forti ma, in molti casi, gli attaccanti possono forzare i siti web riuscendo a intercettare gli algoritmi più deboli, arrivando così a decriptare il traffico.
Nel caso di FREAK un hacker ha sfruttato la vulnerabilità MitM, riuscendo a indebolire la RSA key to EXPORT per trasformarla in una chiave decriptata, utilizzata per un sessione transport-level in cui è andato a intercettare e decifrare tutto il traffico che passava attraverso il protocollo HTTPS.
La prima volta di un FREAK
Tutto è iniziato quando un dipendente, tramite il suo computer aziendale, si è collegato a un sito HTTPS (un sito web protetto) durante la pausa pranzo, per pagare una bolletta. Un mese dopo, a questo dipendente, viene notificato dalla sua banca che la sua carta di credito utilizzata per la transazione è stata compromessa ed è stata impiegata per acquisti fraudolenti.
Se il sito è garantito per proteggere le transazioni con una connessione crittografata, cosa non ha funzionato? Se un indirizzo HTTPS dovrebbe assicurare che le informazioni in entrata e in uscita siano al sicuro dai malintenzionati che scannerizzano il traffico su internet, cosa è successo? La risposta è una sola: si è trattato di un attacco FREAK.
Da dove nasce la vulnerabilità FREAK
L’origine della vulnerabilità, paradosso dei paradossi, è da imputare all’Ente della sicurezza del governo federale degli Stati
Uniti. Circa 20 anni fa, infatti, la NSA, (National Security Agency) aveva imposto una politica commerciale internazionale stabilendo il livello di crittografia che poteva essere supportato nelle transazioni e nelle comunicazioni informatiche da e verso i Paesi esteri. La decisione era stata presa a livello governativo per monitore e scoprire attività illegali o terroristiche e quindi aveva la necessità di decriptare velocemente qualsiasi dato crittografato in entrate e in uscita dagli Stati Uniti. Imponendo quindi una cifratura più debole, l’NSA aveva (ed ha) la capacità di esaminare qualsiasi attività sospetta viaggi sul World Wide Web, anche se questo tipo di dati erano o sono crittografati.
Anche se la NSA, da tempo, ha potenziato le sua capacità di monitoraggio della rete con alcune tecnologia di crittografia più sofisticate, le restrizione imposte per avere cifrature deboli 15 anni fa sono ancora presenti sul molti browser odierni, un chiaro esempio, come spesso accade, di un codice ormai obsoleto che non viene rimosso o aggiornato in applicazioni comuni come può essere appunto un browser. Un attacco di tipo FREAK ha la capacità di catturare tutto il traffico dati che ha accidentalmente o automaticamente negoziato utilizzando una cifratura debole tra un computer e un sito internet. Nel caso descritto in precedenza, il sito di pagamento della bolletta visitato dal dipendente, l’hacker è stato in grado di intercettare le informazioni sensibili decriptandole e utilizzandole poi per altri scopi criminali, ovviamente senza autorizzazione.
Come sottolineano gli esperti, Freak non è una vulnerabilità presente solo sui vecchi browser. Essendo un errore di programmazione, questo tipo di falla si può trovare anche nei sistemi operativi attuali come Android, iOS, Mac e molti di quelli Microsoft, tra cui Windows Vista, Windows 7, Windows 8 / 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2012 e Windows RT.
Nonostante i vari Google, Microsoft e Apple stiano lavorando alacremente per rimuovere il vecchio codice dai browser integrati nei sistemi operativi, c’è ancora la possibilità che un utente possa accidentalmente cadere vittima di un attacco Freak senza esserne a conoscenza.
Come riparare la vulnerabilità FREAK
Le aziende devono quindi trovare il modo di mitigare il rischio di subire un attacco Freak. Il modo migliore è quello di esaminare i certificati utilizzati dai browser supportati in azienda e rimuovere la RSA key exchange EXPORT cipher dai cifrari supportati, dai componenti di configurazione e dal registro del browser. Tuttavia questo potrebbe essere un problema di difficile risoluzione per diversi motivi: mancanza di risorse interne, dimensione dell’azienda o una configurazione aziendale in cui sono previsti vari gruppi di lavoro che utilizzano diversi sistemi operativi.
Un’altra via potrebbe essere quella di garantire che i dispositivi edge di rete non consentano connessioni esterne all’azienda che utilizzano questa cifratura. Bloccando sul nascere questo tipo di traffico dati, si può così essere sicuri che non potranno mai lasciare l’azienda e ed essere intercettati dai pirati informatici.
Infine un’ultima opzione è quella di indirizzare tutti il traffico HTTPS attraverso un Web Proxy come, ad esempio, Blue Coat, Apache Software Foundation, HAProxy o Squid dove il traffico HTTPS viene negoziato sui dispositivi dove è installato il Web proxy.
Anche se i dispositivi di rete bloccano sul nascere l’eventuale uscita di dati cifrati e un proxy Web può essere una soluzione rapida e valida, le aziende non dovrebbero pensare di aver chiuso la vulnerabilità fino a quando le RSA key exchange EXPORT non sono state corrette dai fornitori di sistemi operativi o dal team di supporto dell’azienda.
Il futuro degli attacchi FREAK
Gli attacchi che sono stati lanciati sfruttando la vulnerabilità FREAK sono un campanello di allarme: i vendor di sistemi operativi dovrebbero correggere rapidamente questa vulnerabilità e prevedere risorse sufficienti per fare un profondo inventario del codice utilizzato nei loro prodotti, andando a cancellare quello che non è più necessario e che, ancora peggio, potrebbe risultare pericoloso per gli utenti.
Infine, le aziende che acquistano tali sistemi operativi, dovrebbero incoraggiare i loro partner a sostenere queste pratiche per il bene di tutti, dipendenti, azienda e utenti finali. Nonostante le varie assicurazioni contro il cybercrime e limiti di responsabilità a livello finanziario in caso di attacchi non dovuti a una scarsa sicurezza, le aziende dovrebbero comunque tenere sempre un’allerta molto alta per prevenire nuovi attacchi che i pirati informatici ogni giorno cercano di attuare utilizzando le strade più disparate e proteggere al meglio il Web.
FREAK presto sarà solo un cattivo ricordo, ma nessuno è in grado di prevedere quale sconosciuta vulnerabilità verrà scoperta e utilizzata dai criminali informatici per effettuare attacchi. E il prossimo potrebbe anche essere peggio di quello che ha sfruttato la vulnerabilità FREAK.
