La vulnerabilità nota come FREAK colpisce anche Windows. Lo rivela Microsoft in un documento di supporto, evidenziando come avevamo già riportato anche noi che il problema riguarda molti software e sistemi operativi, non solo quelli di Google e Apple. Il problema, lo ricordiamo, ha a che fare con il secure sockets layer (SSL), le funzionalità di connessione del transport layer security (TLS) e ha radici nelle policy del governo statunitense che in passato impediva alle società di commercializzare all’estero strumenti che utilizzassero cifrature forti, richiedendo l’uso di meccanismi di cifratura più deboli per i prodotti utilizzati all’infuori degli USA. Vari meccanismi di cifratura prevedevano specifiche restrizioni di esportazione sulla crittografia; benché restrizioni in questione siano state abolite dieci anni fa, alcune società hanno continuato ugualmente a utilizzare meccanismi di cifratura deboli, nonostante non ci fosse più l’obbligo di sfruttarli.
FREAK, abbreviazione di “Factoring Attack on Rsa-Export Keys Vulnerability”, evidenzia le debolezze di alcuni meccanismi di cifratura rendendo potenzialmente vulnerabili in poche ore molti siti che sfruttano il protocollo HTTPS e che, in teoria, dovrebbero essere sicuri. L’esperto in sicurezza informatica Matthew Green, parlando con il Washington Post ha affermato che è possibile hackeare alcuni sistemi, considerati sicuri dalla NSA, in appena 7 ore usando 75 computer (o macchine virtuali affittate) e con un costo di poco più di 100 dollari.
Apple ha fatto sapere che una patch specifica è in arrivo a breve e anche Google ha già un fix per Android. Microsoft non ha ancora indicato date di arrivo per la patch ma spiega che gli utenti di Vista e seguenti possono proteggersi disattivando lo scambio di chiavi cifrate RSA usando l’Editor criteri di gruppo, strumento che permette di definire alcune configurazioni per gruppi di utenti e computer.
