HTTP/2, una manna per i cyber-criminali

Il nuovo protocollo Web è vulnerabile ad attacchi molto pericolosi, avvertono i ricercatori di sicurezza, e in due casi su quattro si tratta di falle già presenti nella versione precedente dello standard

Roma – I ricercatori di Imperva hanno analizzato a fondo le principali implementazioni di HTTP/2, evidenziando in tutti i casi la presenza di vulnerabilità ad alto grado di pericolosità: il nuovo protocollo di trasmissione dei dati per siti e servizi Web aumenta, piuttosto che diminuire, i rischi per le comunicazioni tra client e server.

Presentato in occasione dell’ultima conferenza Black Hat , il lavoro di ricerca di Imperva ha preso di mira le implementazioni di server HTTP/2 realizzate da Apache, Microsoft, NGINX, Jetty e nghttp2. Il risultato? Quattro vulnerabilità di sicurezza agilmente sfruttabili dai cyber-criminali, due delle quali erano già presenti (e abusate) nel protocollo HTTP/1.x.

HTTP/2 si può compromettere tramite un attacco di “Slow Read”, spiegano i ricercatori, con il rallentamento estremo delle risposte da parte del client e quindi la creazione di una congestione nel traffico che può portare all’esecuzione di attacchi DDoS già sperimentati negli anni passati.

Una vulnerabilità del tutto nuova di HTTP/2 è invece “HPACK Bomb”, vale a dire una compressione a strati che ricorda una “bomba zip” e viene sfruttata attraverso la trasmissione di messaggi apparentemente innocui: il nuovo protocollo è progettato per comprimere i dati dell’header, e all’atto dell’esplosione la bomba digitale porta alla consunzione delle risorse del server con conseguente crash.

HTTP/2 è inoltre vulnerabile a un “Dependency Cycle Attack”, capace di sovvertire il controllo del flusso di dati (introdotto nello standard per ottimizzare le prestazioni di rete) e di bloccare il server in un loop infinito, e uno “Stream Multiplexing Abuse” che permette di mandare in crash il server sfruttando le falle nell’implementazione del meccanismo di multiplexing dello standard.

Il protocollo HTTP/2 presenta una serie di novità pensate per migliorare le prestazioni di rete soprattutto su gadget mobile, spiegano da Imperva , ma l’adozione di grandi quantità di nuovo codice in un breve lasso di tempo non ha fatto altro che incrementare a dismisura la superficie di attacco a disposizione dei cyber-criminali più aggiornati.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • prova123 scrive:
    Batterie low cost
    per telefoni economici.
  • Enjoy with Us scrive:
    Dinamica poco chiara
    Un conto è se l'iphone si è surriscaldato provocando la caduta del ciclista, altro è se il ciclista prima è rovinato sull'iphone e poi questo si è surriscaldato, mi sembra ovvia che in quest'ultimo caso qualsiasi smartphone avrebbe potuto presentare il medesimo inconveniente!A meno che non si invochi la notoria demenza dei possessori di iphone, comune anche a certi sfoggiatori di top di gamma Samsung.... ma qui il difetto non è nello smartphone ma nel cervello di certi consumatorihttp://4everstatic.com/immagini/674xX/cartoni-animati/homer-simpson,-cervello-130105.jpg
  • Etype scrive:
    Ciclista flambè...
    Ma non è chiaro, l'iphone è caduto, il tizio lo ha messo in tasca e successivamente gli è capitato questo oppure il tizio è caduto dalla bici e con tutto il peso ha spiattellato l'iphne e si è rimesso in marcia come niente ?Inoltre,non senti un certo calore "esterno" che si diffonde ? Di sicuro non avviene in tempo zero.Essendo un metallo dopo una caduta ci possono essere ammaccature con delle rientranze che possono perforare e mandare in cortocircuito le componenti interne. L'allumino poi è un ottimo conduttore di elettricità e calore,ancora peggio. La batteria agli ioni poi diventa pericolosa se esposta a fonti di calore o soggetta a perforazione.Già immagino la scena del ciclista che fa fumo...ma quegli astucci che si agganciano alle bici no ? DEvi epr forz avere un device elettronico a contatto con il corpo e forse con il sudore ?
  • frasi fatte scrive:
    Dispensatore di
    Paghi di piu' ma in compenso.........il solito plasticotto android mentre in alluminio ti mette al riparo da sbananamenti ed esplosioni.......
    • Izio01 scrive:
      Re: Dispensatore di
      - Scritto da: frasi fatte
      Paghi di piu' ma in compenso.........

      il solito plasticotto android mentre in alluminio
      ti mette al riparo da sbananamenti ed
      esplosioni.......Qualcuno mi spiega il senso della seconda frase?Oppure: mi qualcuno frase spiega della senso il seconda?
  • Dumah Brazorf scrive:
    Pretestuoso...
    ... sono totalmente avverso alla mela ma addosare la colpa di questo incidente al telefono mi pare abbastanza pretestuoso. E' chiaro che se il telefono cade per conto suo non deve esplodere ma se ci cadi sopra con tutto il tuo dolce peso e probabilmente su un bel sasso che sfonda scocca e batteria al litio che pretendi?
    • PandaR1 scrive:
      Re: Pretestuoso...
      - Scritto da: Dumah Brazorf
      ... sono totalmente avverso alla mela ma addosare
      la colpa di questo incidente al telefono mi pare
      abbastanza pretestuoso. E' chiaro che se il
      telefono cade per conto suo non deve esplodere ma
      se ci cadi sopra con tutto il tuo dolce peso e
      probabilmente su un bel sasso che sfonda scocca e
      batteria al litio che
      pretendi?uno smartphone ti deve proteggere anche da una pallottola (e samsung lo fa!)
    • Izio01 scrive:
      Re: Pretestuoso...
      - Scritto da: Dumah Brazorf
      ... sono totalmente avverso alla mela ma addosare
      la colpa di questo incidente al telefono mi pare
      abbastanza pretestuoso. E' chiaro che se il
      telefono cade per conto suo non deve esplodere ma
      se ci cadi sopra con tutto il tuo dolce peso e
      probabilmente su un bel sasso che sfonda scocca e
      batteria al litio che pretendi?Ma infatti IMHO potrebbe capitare potenzialmente con un telefono di qualsiasi marca e modello.Resta il fatto che se fosse sucXXXXX ad un Samsung, avremmo qui i macachi a ghignarsela e a sXXXXXXX Android.
      • panda rossa scrive:
        Re: Pretestuoso...
        - Scritto da: Izio01
        - Scritto da: Dumah Brazorf

        ... sono totalmente avverso alla mela ma
        addosare

        la colpa di questo incidente al telefono mi pare

        abbastanza pretestuoso. E' chiaro che se il

        telefono cade per conto suo non deve esplodere
        ma

        se ci cadi sopra con tutto il tuo dolce peso e

        probabilmente su un bel sasso che sfonda scocca
        e

        batteria al litio che pretendi?

        Ma infatti IMHO potrebbe capitare potenzialmente
        con un telefono di qualsiasi marca e
        modello.
        Resta il fatto che se fosse sucXXXXX ad un
        Samsung, avremmo qui i macachi a ghignarsela e a
        sXXXXXXX
        Android.Gia'. Come se fosse colpa del sistema operativo!
  • panda rossa scrive:
    Apple apre il mercato all'isis
    Col nuovo modello di iphone esplosivo apple si e' assicurata un nuovo mercato, quello dell'isis.Mai piu' rozzi e pericolosi esplosivi fatti a mano, ma un bello smartphone di classe, in grado di passare tutti i controlli (aeroporti, stadi, tribunali) e poi al momento opportuno esplode.E per soli 9.99 si puo' installare l'app che consente di farlo esplodere da remoto.
    • Mao99 scrive:
      Re: Apple apre il mercato all'isis
      Il programma l'ho installato su Android, ma penso che programmi del genere li facciano anche per Icoso..
    • Etype scrive:
      Re: Apple apre il mercato all'isis
      Si ma anche tu che dai queste idee, potresti essere scambiato per un fiancheggiatore dell'ISIS o dare spunto ad alcune idee :D
Chiudi i commenti