Centinaia di distribuzioni, pacchetti ed applicazioni opensource, comprese Red Hat, Ubuntu e Debian di Linux, possono essere vulnerabili ad attacchi in grado di aggirare la codifica SSL, per colpa di una falla estremamente critica nelle librerie crittografiche usate.
E' stato infatti scoperto un grave bug nelle librerie GnuTLS, che rende un gioco da ragazzi la possibilità di bypassare sia l'SSL (Secure Sockets Layers) che il TLS (Transpor Layer Security) di tutti i siti e applicazioni che usano tali librerie.
Implementare una connessione sicura è un affare parecchio complicato; evidentemente, più di quanto non si possa pensare.
Secondo stime iniziali, qualcosa come 200 differenti sistemi operativi e applicazioni fanno uso di GnuTLS per implementare le operazioni di SSL e TLS, ma è probabile che il numero sia di gran lunga più elevato. La vulnerabilità permette a eventuali malintenzionati di monitorare e decriptare in remoto le connessioni, le e-mail e/o il traffico dati tra server ed utenti, il tutto in modo silenzioso.
Il bug riguarda una sezione di comandi che si trova nel codice di GnuTLS, che è deputato a verificare l'autenticità dei certificati TLS, che sono conosciuti come certificati X509. L'errore di codice, che potrebbe essere presente fin dal 2005 (!), causa lo stop dei controlli di verifica sui certificati, in modo molto simile alla falla scoperta recentemente su iOS ed OS X di Apple.
In un avviso di Red Hat, si legge che "è stato scoperto che GnuTLS non era in grado di gestire certi errori che potevano capitare durante la verifica di un certificato X509, mostrando un risultato valido di una verifica che invece non lo era" - e prosegue - "un malintenzionato potrebbe usare questa falla per creare un certificato ad hoc, che verrebbe validato da GnuTLS per un sito a scelta da colpire".
Gli sviluppatori di GnuTLS hanno immediatamente diramato un'allerta, che impone a tutti gli utenti di aggiornare la versione della libreria alla 3.2.12. La falla, marcata CVE-2014-0092, è descritta come "un importante bug scoperto durante un audit per Red Hat". Naturalmente anche Debian ha diramato un comunicato sullo stesso argomento.
E' allarmante scoprire che una simile falla sia attiva da quasi 10 anni in un codice che è la base di moltissime applicazioni e sistemi operativi; i ricercatori di sicurezza stanno ovviamente studiando anche i possibili effetti che potrebbe avere in futuro, nella speranza che nessun hacker ne fosse a conoscenza fino ad oggi e che quanto scoperto renda possibile creare problemi solo a chi non si premura di mantenere aggiornati i propri sistemi.
Chi è disposto a scommettere che i furboni della NSA e delle altre agenzie governative non lo abbiano già usato per qualche "sniffatina"?