(30 dicembre 2011) BERLINO – Microsoft è già corsa ai ripari rilasciando un aggiornamento di sicurezza per correggere una vulnerabilità che riguarda le applicazioni che sfruttano il .NET. Generalmente Microsoft avrebbe rilasciato i suoi aggiornamenti il primo martedì del mese entrante, ma in questo caso ha fatto un’eccezione. La vulnerabilità riguarda la quasi totalità dei siti internet. E non sono solo i siti scritti in ASP.net, ma anche quelli compilati in PHP, Java, JavaScript, Perl, Ruby e altri linguaggi.
La vulnerabilità è stata presentata il 28 dicembre scorso presso il Chaos Communication Congress, il CCC per gli addetti ai lavori, una conferenza annuale che si tiene a Berlino dove due ricercatori tedeschi, Alexander Klink e Julian Walde, hanno dimostrato come un hacker malintenzionato con un solo computer e una connessione a banda larga, anche non nelle migliori condizioni di velocità, possa bloccare e paralizzare i server web tramite attacchi denial-of-service, i cosiddetti Ddos. In questo caso, i due ricercatori li hanno definiti HashDoS. Durante l’attacco, utilizzando l’hashdos gli hacker malintenzionati, sfruttando la falla possono generare talmente tanto traffico fittizio all’interno di un server mandandolo in crash e quindi rendendolo non più operativo, e una volta caduto il server questo si trascina e rende non più operativi tutti i siti e i servizi che ha installato al suo interno.
Ovviamente l’hashdos funziona con algoritmi non crittografati. Addirittura i due ricercatori tedeschi hanno dimostrato come un piccolo pacchetto di dati pari a 6kb basti a mantenere occupato per centinaia di calcoli fittizi un processore che gestisce un server Java. In questo modo un utente, malintenzionato, con poche risorse può “far fuori” un sito in poche ore. Mentre Microsoft ha già rilasciato il suo aggiornamento straordinario, si attende, ora che anche le altre piattaforme studino delle soluzioni adeguate e rilascino le patch di aggiornamento.
Francesco Cappello
