SSL, il più grosso pericolo del mondo connesso

Ricercatori statunitensi descrivono il più diffuso sistema di trasmissione dati in sicurezza come fortemente a rischio di attacchi man-in-the-middle. La colpa non è dei programmatori, però, bensì delle API e delle librerie

Roma – Le potenziali insicurezza della tecnologia SSL (Secure Socket Layer) rappresentano un grosso problema per le comunicazioni telematiche fuori dal browser, e in questo caso non si parla solo di banali app per Android ma di un gran numero di software di importanza critica responsabili del trasferimento dati in rete.

A identificare l’ennesima, problematica insicurezza di SSL sono due ricercatori statunitensi (University of Texas di Austin e Stanford University), che arrivano a definire la validazione dei certificati SSL nel software fuori dal browser web come il più pericoloso codice del mondo .

Client di instante messaging, applicazioni business che si interfacciano alle reti di e-payment di PayPal e Amazon, il numero e la qualità dei programmi affetti dal problema sono a dir poco preoccupanti. E non si tratta (almeno, non soltanto) del codice scritto per i suddetti software, dicono i ricercatori: il problema sono le librerie standard usate per implementare le comunicazioni SSL.

JSSE, OpenSSL oppure GnuTLS, niente si salva dal difetto strutturale di complicare la vita al programmatore offrendo API con un design pessimo e una scelta di opzioni confusa. Il risultato è sempre lo stesso: i programmatori implementano la validazione dei certificati SSL in maniera errata o comunque potenzialmente vulnerabili a pericolosi attacchi di tipo man-in-the-middle.

Per provare la loro teoria, i ricercatori sono riusciti a far accettare dai software in oggetto tre diverse tipologie di certificati fasulli: un certificato auto-firmato con il nome corretto, un certificato auto-firmato con un nome casuale e uno proveniente da un’autorità valida ma concesso al dominio errato (“AllYourSSLAreBelongto.us”). La soluzione a questo ennesimo problema è evidente, dicono gli esperti: fornire ai programmatori librerie e interfacce più chiare e con funzionalità di log degli errori maggiormente consistenti.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • hypercube scrive:
    il progresso
    il progresso non attende i ritardatari o i disorganizzati. il progresso è un proXXXXX inevitabile che coglie di sorpresa ed al quale o ci si adatta immediatamente oppure si viene travolti. I modelli di business basati sulla plastica sono superati da almeno 10 anni, ma il vecchio mercato finge di non rendersene conto, definendo il proXXXXX evolutivo come un capriccio, una furbata, addirittura un reato. Spesso si da del ladro all'utente che scarica materiale dalla rete ma cosa c'è di tanto diverso rispetto a quando negli anni 80 si registrava con una musicassetta, la canzone che passavano alla radio? e cosa c'era di male se la si registrava e la si riascoltava a piacimento rispetto al doversi sbattere per trovare la stazione che la trasmetteva? nulla... e lo stesso discorso si può applicare oggi. che differenza fa se scarico un brano o se lo ascolto su youtube? invece di produrre quantità industriali di plastica inutile non sarebbe più opportuno che le case discografiche si unissero nella creazione di una piattaforma globale che pagando un account di 60/80 euro l'anno, ti fanno scaricare tutto quello che vuoi? è stata imputato a megaupload un danno mastodontico nei confronti dell'industria musicale e cinematografica ma pensate che in questo anno il mercato si sia ripreso? non conosco nessuno che compri più un cd. e il cinema? è in ripresa? remake e reboot dei soliti XXXXX di film visti e rivisti per lucrare in maniera vergognosa obbligandoti a pagare per l'hd o il 3d, sborsando cifre da night. e i ladri siamo noi? è finita la pacchia del "scrivo un brano e ci campo cent'anni". andate a lavorare.
    • Leguleio scrive:
      Re: il progresso
      - Scritto da: hypercube
      I modelli di business basati sulla
      plastica sono superati da almeno 10 anni, ma il
      vecchio mercato finge di non rendersene conto,
      definendo il proXXXXX evolutivo come un
      capriccio, una furbata, addirittura un reato.
      Spesso si da del ladro all'utente che scarica
      materiale dalla rete ma cosa c'è di tanto diverso
      rispetto a quando negli anni 80 si registrava con
      una musicassetta, la canzone che passavano alla
      radio? Ricordiamo ai più giovani che quasi tutte le radio trasmettevano i brani incompleti, oppure i disc jockey vi sovrapponevano la voce. E che, a differenza della registrazione digitale, quella analogica, effettuata su un sottile nastro magnetico senza pretese, aveva sempre una perdita di qualità. Se poi si voleva fare una copia della cassetta, ciao Beppe, la qualità scadeva ancora. :Ho già ricordato che nel 1981, in Gran Bretagna, l'associazione dei discografici menò una campagna contro l'uso delle musicassette che uccidevano la musica.: " <I
      Home taping is killing music - And it's illegal </I
      "http://tinyurl.com/ac49ruhNon so come è andata a finire: nel senso che non venne approvata una legge per istituire un "equo compenso" sulle musicassette vergini (quella verrà approvata per i CD e i DVD, circa 20 anni dopo), ma non saprei se in gran Bretagna la musica sia stata uccisa da chi la registrava alla radio o dai dischi prestati da amici, e non sia mai più risorta.
      e cosa c'era di male se la si registrava e
      la si riascoltava a piacimento rispetto al
      doversi sbattere per trovare la stazione che la
      trasmetteva? nulla... e lo stesso discorso si può
      applicare oggi. che differenza fa se scarico un
      brano o se lo ascolto su youtube? Che quello che descrivi all'epoca delle musicassette era un uso personale, esteso al massimo a chi aveva acXXXXX all'oggetto in casa (familiari, amici...). Caricando un brano su Youtube, lo diffondi in tutto il mondo. :-)Parlando di Youtube, poi, il problema non si pone quasi più, perché con il metodo del content-ID, che identifica i brani musicali e cinematografici protetti dal diritto d'autore, tutto viene bloccato sul nascere. Google ha stretto molti accordi con le case discografiche e cinematografiche.
  • Void scrive:
    (ex) utenze a vita
    ma gli utenze che sono state pagate "a vita" resusciteranno anche loro?
    • krane scrive:
      Re: (ex) utenze a vita
      - Scritto da: Void
      ma gli utenze che sono state pagate "a vita"
      resusciteranno anche loro?Hai una ricevuta ?Finche' i computer di Mega non vengono disseguestrati la vedo dura guardare nel DB delle utenze, se venissero dissequestrati allora si potrebbe trasferire il DB ed entreresti normalmente con la tua vecchia password.
      • Luco, giudice di linea mancato scrive:
        Re: (ex) utenze a vita
        - Scritto da: krane
        - Scritto da: Void

        ma gli utenze che sono state pagate "a vita"

        resusciteranno anche loro?

        Hai una ricevuta ?

        Finche' i computer di Mega non vengono
        disseguestrati la vedo dura guardare nel DB delle
        utenze, se venissero dissequestrati allora si
        potrebbe trasferire il DB ed entreresti
        normalmente con la tua vecchia
        password.I dati degli account potrebbero (non è detto, ma potrebbero) trovarsi in server diversi (o essere stati mirrorati) da quelli che contenevano i file
        • krane scrive:
          Re: (ex) utenze a vita
          - Scritto da: Luco, giudice di linea mancato
          - Scritto da: krane

          - Scritto da: Void


          ma gli utenze che sono state pagate


          "a vita" resusciteranno anche loro ?

          Hai una ricevuta ?

          Finche' i computer di Mega non vengono

          disseguestrati la vedo dura guardare

          nel DB delle utenze, se venissero

          dissequestrati allora si potrebbe

          trasferire il DB ed entreresti

          normalmente con la tua vecchia

          password.
          I dati degli account potrebbero (non è detto, ma
          potrebbero) trovarsi in server diversi (o essere
          stati mirrorati) da quelli che contenevano i
          fileSi, giusto e corretto.
          • gigi scrive:
            Re: (ex) utenze a vita
            è ovvio che i database siano in server diversima sicuramente saranno stati sequestrati anche quelliquindi difficilmente potranno ridare l'account a chi lo aveva primase era possibile lo avrebbero fatto cosi da pubblicizzarsi ancora di più
  • mario scrive:
    chi sbaglia paga sempre
    la giustizia trionferà sempre e i ladri andranno tutti in gattabuia.
    • uno qualsiasi scrive:
      Re: chi sbaglia paga sempre
      I ladri che vogliono farsi pagare e restare proprietari della merce andranno sotto un ponte, non in gattabuia.
    • 123 scrive:
      Re: chi sbaglia paga sempre
      - Scritto da: mario
      la giustizia trionferà sempre e i ladri andranno
      tutti in gattabuia.Vale anche per i truffatori? lo dico perche un tale Bilvio Serlusconi mi pare ancora a piede libero.
  • no pirates scrive:
    Dotcom in cella!
    Dotcom in cella!
  • uno qualsiasi scrive:
    Ma sarà come quello vecchio?
    Non sarà mica una cosa simile a quella di Napster, che era diventato a pagamento dopo la rinascita e non interessava più a nessuno?
  • dontfeed in sciopero scrive:
    Godo
    speriamo che dia la spallata finale al sistema copyright.Finalmente i vari parassiti dovranno lavorare.
    • arvaro scrive:
      Re: Godo
      veramente i parassiti cio' che scaricano lo creano..tu non crei nulla solo chiacchiere...un autore
      • Luco, giudice di linea mancato scrive:
        Re: Godo
        - Scritto da: arvaro
        veramente i parassiti cio' che scaricano lo
        creano..Non sono certo i parassiti a creare, i parassiti hanno invece sfruttato chi crea illudendoli che soltanto grazie ai parassiti potevano diventare ricchi e famosi.Poi è arrivato il web 2.0.
      • dontfeed in sciopero scrive:
        Re: Godo
        - Scritto da: arvaro
        veramente i parassiti cio' che scaricano lo
        creanoNon credo proprio.Ma probabilmente non ti sai esprimere...e saresti un autore?
        ..tu non crei nulla solo chiacchiere...Perchè dici ciò, mi conosci?Solite illazioni di chi non solo in tutta la vita non ha mai lavorato, ma pervicacemente si ostina a non voler mai lavorare.E' finita la pacchia.VAI A ZAPPARE.
        un
        autoreSe tu sei un autore, io sono Topolino (cit. da un film che ho visto scaricato alla faccia tua)
      • 123 scrive:
        Re: Godo
        - Scritto da: arvaro
        veramente i parassiti cio' che scaricano lo
        creano..tu non crei nulla solo chiacchiere...un
        autorescusa, potresti citare almeno 3 delle tue realizzazioni?
  • no pirates scrive:
    I pirati in cella!
    I pirati in cella!
  • Alberto Bianchi scrive:
    Benissimo!
    Attendo con ansia la nuova incarnazione di un servizio cosi' utile e avveniristico.. forza Kim :) Siamo tutti con te. Sara' l'ennesima dimostrazione (se mai fosse necessaria) che rimanere al passo con i tempi e' l'unico business model sostenibile: il vecchiume plasticato, noleggiato per una manciata di monetine, non vale ne' il tempo ne' la spesa necessari per acquisirlo. Perche' prendere la macchina, imprecare per trovare parcheggio, elargire denaro a un disgraziato che considera tutti indistintamente come ladri, uscire dal suo bugigattolo polveroso con le ragnatele che penzolano dai vestiti, e ritrovarsi con un qualcosa che si potrebbe ottenere con un click? Follia pura..
    • Internetcrazia scrive:
      Re: Benissimo!
      mammamia immagina 10 euro al mese per poter accedere ad una libreria di film e musica, da tablet, pc e smartphone...dove vengono retribuiti i creatori in base al numero di click...il mio sogno!
      • Allibito scrive:
        Re: Benissimo!
        - Scritto da: Internetcrazia
        mammamia immagina 10 euro al mese per poter
        accedere ad una libreria di film e musica, da
        tablet, pc e smartphone...dove vengono retribuiti
        i creatori in base al numero di click...il mio
        sogno!Adesso svegliati, non esite!
    • Carlo scrive:
      Re: Benissimo!
      "Forza Kim siamo tutti con te"? Tutti chi? Tu e quei quattro pidocchiosi che vogliono gratis il lavoro degli altri? Con il tuo kim ci penserà l'FBI, stanne sicuro!
      • no pirates scrive:
        Re: Benissimo!
        ben detto Carlo!
      • Seguace di Kim scrive:
        Re: Benissimo!
        - Scritto da: Carlo
        "Forza Kim siamo tutti con te"? Tutti chi? Tu e
        quei quattro pidocchiosi che vogliono gratis il
        lavoro degli altri? Con il tuo kim ci penserà
        l'FBI, stanne
        sicuro!Ti riferisci per caso a quei tizi che hanno violato diverse leggi in quello storico blitz di quasi 1 anno fa? Credo che per un pò dovranno starsene buoni ed anzi, con tutta probabilità dovranno anche risarcirlo.
      • uno qualsiasi scrive:
        Re: Benissimo!
        Il lavoro di quali altri? Non certo il tuo.
      • Free world scrive:
        Re: Benissimo!
        - Scritto da: Carlo
        "Forza Kim siamo tutti con te"? Tutti chi? Tu e
        quei quattro pidocchiosi che vogliono gratis il
        lavoro degli altri? Con il tuo kim ci penserà
        l'FBI, stanne
        sicuro!Se fossero davvero quattro non avresti problemi. :)
      • dontfeed in sciopero scrive:
        Re: Benissimo!
        - Scritto da: Carlo
        "Forza Kim siamo tutti con te"? Tutti chi? Tutti quelli con il QI sopra il 100.La qual cosa ti esclude automaticamente.
    • Carlo scrive:
      Re: Benissimo!
      "Siamo tutti con te"? A nome di chi parli? Chi rappresenti? Abituati a parlare al singolare: mica sono tutti ladri come te e il tuo amico grassone!
    • Allibito scrive:
      Re: Benissimo!
      - Scritto da: Alberto Bianchi
      Attendo con ansia la nuova incarnazione di un
      servizio cosi' utile e avveniristico.. forza Kim
      :) Siamo tutti con te. Sara' l'ennesima
      dimostrazione (se mai fosse necessaria) che
      rimanere al passo con i tempi e' l'unico business
      model sostenibile: il vecchiume plasticato,
      noleggiato per una manciata di monetine, non vale
      ne' il tempo ne' la spesa necessari per
      acquisirlo. Perche' prendere la macchina,
      imprecare per trovare parcheggio, elargire denaro
      a un disgraziato che considera tutti
      indistintamente come ladri, uscire dal suo
      bugigattolo polveroso con le ragnatele che
      penzolano dai vestiti, e ritrovarsi con un
      qualcosa che si potrebbe ottenere con un click?
      Follia
      pura..Ottimo ragionamento, perchè coltivare la terra quando puoi raccogliere i frutti del vicino? Basta far zappare lui. Lo sai che sei un genio? Hai inventato il furto, brevettalo prima che ci pensino altri.
      • uno qualsiasi scrive:
        Re: Benissimo!

        Ottimo ragionamento, perchè coltivare la terra
        quando puoi raccogliere i frutti del vicino?
        Basta far zappare lui.O semplicemente, <b
        non far zappare nessuno </b
        e replicare il raccolto dell'anno prima: così abbiamo tutti da mangiare, senza fatica.
        • 123 scrive:
          Re: Benissimo!
          - Scritto da: uno qualsiasi

          Ottimo ragionamento, perchè coltivare la
          terra

          quando puoi raccogliere i frutti del vicino?

          Basta far zappare lui.

          O semplicemente, <b
          non far zappare
          nessuno </b
          e replicare il raccolto
          dell'anno prima: così abbiamo tutti da mangiare,
          senza fatica.tu e quello prima di te continuate testardamente (ed ottusamente) a voler equiparare "oggetti" fisici (un chicco di granoturco che per essere "replicatt" devono seguire un proXXXXX non riducibile sotto un tempo X) e oggetti NON fisici (una sequenza di bit vacilmente riproducibili a costo molto basso). Il "costo" di un "qualcosa" e' funzione della "difficolta'" con cui puo' essere riprodotto.Una pannocchia puo' essere riprodotta con fatica nell'arco di un anno (pianto un chicco ed ottengo una nuova pannocchia simile alla precedente l'anno dopo) mentre ottenere una nuova sequenza di bit identica a quella iniziale puo' essere fatto rapidamente (nel tempo di secondi/ore) e a costo molto basso.Quindi se non volete essere copiati datevi all'agricoltura, allevamento, edilizia etc, se vi ostinate a scrivere canzoni o realizzare film sarete sempre copiabili. Gli attuali intermediari (noleggiatori, videotechini, etc) sono l'inutile strascico di una fase tecnologica ormai conclusa. Mi sembra una cosa che si chiama "progresso". Occorre ripensare l'attuale modello di business, accorciando la filiera ed eliminare gli ormai inutili (voi) passaggi intermedi.
          • uno qualsiasi scrive:
            Re: Benissimo!
            Guarda che è quello che ho detto anche io. Forse hai risposto alla persona sbagliata? O hai frainteso quello che ho scritto?Il mio esempio di replicare il raccolto doveva servire proprio a mostrare l'assurdità del paragone tra oggetti fisici e files.
  • ABOLIRE LA PIRATERIA scrive:
    ABOLIRE LA PIRATERIA
    Il nuovo Megaupload sarà un fiasco totale, ammesso che il panzone riesca a rimetterlo in piedi!Dotcom & CO. in galera! @^
    • ABOLIRE I PARASSITI scrive:
      Re: ABOLIRE LA PIRATERIA
      - Scritto da: ABOLIRE LA PIRATERIA
      Il nuovo Megaupload sarà un fiasco totale,
      ammesso che il panzone riesca a rimetterlo in
      piedi!

      Dotcom & CO. in galera! @^devo scomparire i vari intermediari passiti!!
      • ABOLIRE I PARASSITI scrive:
        Re: ABOLIRE LA PIRATERIA
        - Scritto da: ABOLIRE I PARASSITI
        - Scritto da: ABOLIRE LA PIRATERIA

        Il nuovo Megaupload sarà un fiasco totale,

        ammesso che il panzone riesca a rimetterlo in

        piedi!



        Dotcom & CO. in galera! @^

        devo scomparire i vari intermediari passiti!! :-o :-o :-o :-o :-o :-o :-o :-o :-ocorretto: devono scomparire i vari intermediari parassiti!! :D
    • Free world scrive:
      Re: ABOLIRE LA PIRATERIA
      - Scritto da: ABOLIRE LA PIRATERIA
      Il nuovo Megaupload sarà un fiasco totale,
      ammesso che il panzone riesca a rimetterlo in
      piedi!Vero, non lo userà nessuno, saranno tutti impegnati a comprare :)
Chiudi i commenti