HTTP/2, una manna per i cyber-criminali
Topic
Approfondimenti
Trending
tutti

HTTP/2, una manna per i cyber-criminali

Il nuovo protocollo Web è vulnerabile ad attacchi molto pericolosi, avvertono i ricercatori di sicurezza, e in due casi su quattro si tratta di falle già presenti nella versione precedente dello standard
Sicurezza Antivirus
Il nuovo protocollo Web è vulnerabile ad attacchi molto pericolosi, avvertono i ricercatori di sicurezza, e in due casi su quattro si tratta di falle già presenti nella versione precedente dello standard

I ricercatori di Imperva hanno analizzato a fondo le principali implementazioni di HTTP/2, evidenziando in tutti i casi la presenza di vulnerabilità ad alto grado di pericolosità: il nuovo protocollo di trasmissione dei dati per siti e servizi Web aumenta, piuttosto che diminuire, i rischi per le comunicazioni tra client e server.

Presentato in occasione dell’ultima conferenza Black Hat , il lavoro di ricerca di Imperva ha preso di mira le implementazioni di server HTTP/2 realizzate da Apache, Microsoft, NGINX, Jetty e nghttp2. Il risultato? Quattro vulnerabilità di sicurezza agilmente sfruttabili dai cyber-criminali, due delle quali erano già presenti (e abusate) nel protocollo HTTP/1.x.

HTTP/2 si può compromettere tramite un attacco di “Slow Read”, spiegano i ricercatori, con il rallentamento estremo delle risposte da parte del client e quindi la creazione di una congestione nel traffico che può portare all’esecuzione di attacchi DDoS già sperimentati negli anni passati.

Una vulnerabilità del tutto nuova di HTTP/2 è invece “HPACK Bomb”, vale a dire una compressione a strati che ricorda una “bomba zip” e viene sfruttata attraverso la trasmissione di messaggi apparentemente innocui: il nuovo protocollo è progettato per comprimere i dati dell’header, e all’atto dell’esplosione la bomba digitale porta alla consunzione delle risorse del server con conseguente crash.

HTTP/2 è inoltre vulnerabile a un “Dependency Cycle Attack”, capace di sovvertire il controllo del flusso di dati (introdotto nello standard per ottimizzare le prestazioni di rete) e di bloccare il server in un loop infinito, e uno “Stream Multiplexing Abuse” che permette di mandare in crash il server sfruttando le falle nell’implementazione del meccanismo di multiplexing dello standard.

Il protocollo HTTP/2 presenta una serie di novità pensate per migliorare le prestazioni di rete soprattutto su gadget mobile, spiegano da Imperva , ma l’adozione di grandi quantità di nuovo codice in un breve lasso di tempo non ha fatto altro che incrementare a dismisura la superficie di attacco a disposizione dei cyber-criminali più aggiornati.

Alfonso Maruccia

Pubblicato il 8 ago 2016

Link copiato negli appunti

Ti potrebbe interessare

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito

Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito
Antivirus e antimalware: differenze e quale scegliere

Antivirus e antimalware: differenze e quale scegliere
Norton lancia 360 Advanced: nuove funzionalità e sconto del 66%

Norton lancia 360 Advanced: nuove funzionalità e sconto del 66%
Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito

Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito
Antivirus e antimalware: differenze e quale scegliere

Antivirus e antimalware: differenze e quale scegliere
Norton lancia 360 Advanced: nuove funzionalità e sconto del 66%

Norton lancia 360 Advanced: nuove funzionalità e sconto del 66%
Alfonso Maruccia
Pubblicato il
8 ago 2016
Link copiato negli appunti