Il Logjam (CVE-2015-4000) è una vulnerabilità scoperta di recente, ma in realtà si tratta di un vecchio bug che colpisce i protocolli di comunicazione sicuri di Internet. In dettaglio, è un team di informatici ad aver scovato una falla nel protocollo TLS nello scambio di chiavi di crittografia Diffie-Hellman, ovvero il metodo che permette ai protocolli Internet di accordarsi su quale chiave di crittografia condivisa utilizzare durante la fase di negoziazione quando si usufruisce una connessione sicura.
In dettaglio, la vulnerabilità conosciuta come Logjam colpisce la crittografia del protocollo TLS rendendola poco sicura ed esposta ad utilizzi fraudolenti.
Come proteggere l’azienda dalla vulnerabilità Logjam? Come accorgersi se c’è una falla nello scambio di chiavi crittografate? Quali sono i rimedi più efficaci?
Pericolo Logjam da non sottovalutare
Questa vulnerabilità può essere sfruttata da un utente malintenzionato per leggere e manipolare informazioni che passano attraverso una connessione TLS che, in teoria, dovrebbe essere sicura. La vulnerabilità Logjam è molto simile alla vulnerabilità FREAK, in quanto anch’essa permette a un hacker di forzare un server Web e di conseguenza i browser per utilizzare chiavi di crittografia deboli che possono così essere facilmente decifrate.
Per usufruire della vulnerabilità Logjam, un hacker ha bisogno di lanciare un attacco di tipo man-in-the-middle tra un client e un server utilizzando, ad esempio, una connessione Wi-Fi pubblica come quelle che si possono trovare in un aeroporto o in un Internet caffè. È bene sottolineare che i pirati informatici per effettuare questo tipo di attacco a un rete aziendale avrebbero bisogno di essere loggati all’interno di tale rete, il che non è comunque così semplice da effettuare.
Nonostante questo, le probabilità che un’azienda subisca un attacco tramite la vulnerabilità Logjam sono estremamente elevate. Il motivo è presto detto: la colpa è da attribuire all’algoritmo di scambio di chiavi Diffie-Hellman, fondamentale per molti protocolli, tra cui HTTPS, SSH, IPsec e altri che si basano su TLS o supportano scambio di chiavi Diffie- Hellman come POP3, IMAP e SMTP.
Oltre a questi, anche molti servizi VPN sono vulnerabili a causa dell’utilizzo del protocollo TLS o IPsec. Il Service Intelligence Team di Skyhigh ha rilevato ben 575 servizi cloud potenzialmente vulnerabili ad attacchi che sfruttano la falla Logjam. Nonostante questo, dopo sei ore dall’annuncio del problema, il 99% degli oltre 400 clienti di Skyhigh utilizzava almeno un servizio dei 71 catalogati come potenzialmente vulnerabili.
Come difendersi dal Logjam
La vulnerabilità Logjam interessa qualsiasi server che supporta la cifratura DHE_EXPORTe tutti i browser moderni. Per fortuna i sistemi che sono protetti rispetto alla falla FREAK sono anche sicuri contro Logjam. Per verificare se i sistemi aziendali sono al sicuro e che non possono esseri intaccati dalla vulnerabilità Logjam, gli amministratori di sistema possono utilizzare il tool Symantec SSL Checker.
Come ulteriore precauzione sarebbe bene assicurarsi che tutte le librerie che utilizzano il sistema di cifratura TLS siano aggiornate. Ad esempio le librerie OpenSSL hanno aggiunto, nelle versioni 1.0.2b e 1.0.1n, la protezione contro gli attacchi che possono sfruttare la vulnerabilità Logjam. Per questo motivo è molto importante che gli amministratori di sistema controllino che tutti i browser utilizzati dagli utenti siano impostati per l’aggiornamento automatico in modo da ricevere le patch atte a risolvere le vulnerabilità più critiche. Un ulteriore consiglio degli esperti è quello di generare un algoritmo per lo scambio di chiavi Diffie-Hellman a 2048 bit, utile per evitare il cosiddetto pre-calcolo degli hacker che cercano di lanciare un attacco sfruttando la vulnerabilità Logjam. Per tutti coloro che usano il protocollo SSH, è importante aggiornare sia le installazioni server, sia quelle client, alla versione più recente di OpenSSH che utilizza l’algoritmo Diffie-Hellman per lo scambio di chiavi di crittografia. I ricercatori che hanno scoperto la vulnerabilità Logjam hanno messo a disposizione una pagina web che offre ulteriori indicazioni su come rafforzare i server interessati da questo problema.