POODLE e la sicurezza dei pagamenti in Zen Cart

OTTOBRE 2014 - Una nuova falla di sicurezza è stata scoperta in un protocollo di base utilizzato per la crittografia del traffico in Rete.

La minaccia è stata chiamata Poodle (ossia barboncino), che letteralmente sta per Padding Oracle On Downgraded Legacy Encryption, ed è descritta in un documento pubblicato da Bodo Moller, Thai Duong e Krzysztof Kotowicz, tre ricercatori che si occupano di sicurezza informatica per conto di Google. Poodle riguarda il protocollo SSLv3, ossia la versione 3.0 (vecchia di 15 anni) del Secure sockets layer (Ssl), utilizzato per cifrare il traffico tra un browser e un sito web oppure tra client e server di posta elettronica.

Amministratori / Webmaster Zen Cart devono seguire le istruzioni di questa patch di sicurezza.

Anche se la vulnerabilità – dicono gli esperti – non sembra pericolosa quanto Heartbleed e Shellshock perché è rivolta al lato client e non a quello server, Poodle potrebbe consentire a un utente malintenzionato di decifrare i cookie che corrispondono a servizi come Twitter o Google, e quindi entrare negli account degli utenti senza bisogno di conoscere la password di accesso.

Per fortuna, la vulnerabilità esiste solo se si sta eseguendo javascript e se la sessione sta utilizzando il protocollo SSLv3.

Inoltre l’hacker deve essere collegato alla stessa Rete della vittima, cioè ad esempio al medesimo wi-fi pubblico.

Quindi solo le Reti aperte come nei bar o negli aeroporti potrebbero essere a rischio, mentre quelle private di casa non sono in alcun modo toccate dalla nuova falla.

Di conseguenza, le potenzialità degli attacchi sono molto inferiori rispetto a quelli che possono essere condotti in remoto da un qualsiasi computer collegato a Internet.

Continua la lettura dell'articolo completo in WIRED.IT