Rete cifrata, Rete bucata

Ennesimo attacco che prende di mira le comunicazioni SSL/TLS: anche in questo caso si parla di vulnerabilità di lunga data contro algoritmi oramai obsoleti. Google, nel mentre, deve fare i conti con i soliti certificati non autentici

Roma – I ricercatori di sicurezza hanno ideato un nuovo attacco in grado di compromettere le comunicazioni cifrate veicolate attraverso gli standard SSL/TLS, un attacco che prende di mira l’algoritmo RC4 e non ha bisogno di meccanismi di tipo “man-in-the-middle” (MITM) per rubare informazioni sensibili e finanziarie.

L’attacco Bar Mitzvah è infatti in grado di sfruttare una vulnerabilità vecchia di 13 anni in un algoritmo ormai pensionato da tempo, eppure ancora supportato da server e browser Web per ragioni di compatibilità o di prestazioni.

Grazie a Bar Mitzvah, un malintenzionato potrebbe intercettare e registrare passivamente il traffico indirizzato all’interno di una connessione SSL, recuperando in maniera parziale messaggi testuali contenenti cookie, password e numeri di carte di credito.

Diversamente da attacchi scoperti nel recente passato come BEAST, POODLE o CRIME, dicono i ricercatori, con Bar Mitzvah è possibile rubare informazioni segrete permanenti e non solo i token della sessione temporanea aperta dal server. La capacità dello sniffing passivo dei dati – una delle varianti del nuovo attacco – senza l’uso di componenti man-in-the-middle rappresenta poi una novità senza precedenti.

Bar Mitzvah non ha bisogno di compromettere server da usare come intermediari malevoli, ma le aziende telematiche non perdono occasione di invogliare i cyber-criminali a sfruttare meccanismi MITM con errori più o meno umani, più o meno disastrosi per le potenziali conseguenze sulla sicurezza complessiva di Internet.

L’ultimo caso che facilita la proliferazione di attacchi MITM coinvolge ancora una volta Google , incappata nei certificati di sicurezza della società egiziana MCS Holdings riferiti ai domini di proprietà di Mountain View. MCS Holdings aveva a sua volta ricevuto i certificati dalla Certificate Authority (CA) cinese CNNIC, autorità che aveva di fatto fornito alla società del Cairo la capacità di “impersonare” Google e quindi di intercettare il traffico protetto tra server e utenti.

Google, Mozilla, Microsoft hanno subito invalidato i certificati di MCS Holdings, e alla fine sia CNNIC che l’azienda egiziana hanno ammesso di aver commesso un semplice errore umano . I cyber-criminali, in effetti, ne fanno molti meno, di errori.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • jacksea scrive:
    antitrust
    Boh.... che fine avrà fatto l'antitrust di sti tempi?
    • bradipao scrive:
      Re: antitrust
      - Scritto da: jacksea
      Boh.... che fine avrà fatto l'antitrust di sti tempi?Beh, il materiale per l'antitrust in questo caso è quasi inesistente. Le dimensioni finanziare di AMD sono veramente infime, basterebbero un paio di mesi di profitti (netti) di Apple per comprarsela.
      • Izio01 scrive:
        Re: antitrust
        - Scritto da: bradipao
        - Scritto da: jacksea

        Boh.... che fine avrà fatto l'antitrust di sti
        tempi?

        Beh, il materiale per l'antitrust in questo caso
        è quasi inesistente. Le dimensioni finanziare di
        AMD sono veramente infime, basterebbero un paio
        di mesi di profitti (netti) di Apple per
        comprarsela.Stavo pensando la stessa cosa: AMD è in posizione subalterna sia in termini di CPU che di GPU; parlando da ignorante in materia quale sono, non mi pare che l'antitrust dovrebbe avere poi chissà cosa da obiettare.
  • Sg@bbio scrive:
    Amd e GPU
    Nel Mercato della GPU, AMD non è che vada cosi male.
    • ces scrive:
      Re: Amd e GPU
      - Scritto da: Sg@bbio
      Nel Mercato della GPU, AMD non è che vada cosi
      male.Spero proprio di no visto i prezzi delle gpu Nvidia(ghost)
      • Sg@bbio scrive:
        Re: Amd e GPU
        Secondo l'articolista, AMD e in difficoltà pure nelle GPU, cosa non propriamente vera.
        • Povero di spirito scrive:
          Re: Amd e GPU
          Ma se consideri "l'articolista" (si quello locale sia quello della notizia "originale" si vede che ci sono "affinità elettive") c'è poco da meravigliarsi.
          • Povero di spirito scrive:
            Re: Amd e GPU
            P.S.L'articolista "originale" è Neil McAllister e Maruccia è (senza offesa) un McAllister de noantri....
          • ... scrive:
            Re: Amd e GPU
            - Scritto da: Povero di spirito
            P.S.
            L'articolista "originale" è Neil McAllister e
            Maruccia è (senza offesa) un McAllister de
            noantri....ha dimenticato "de noantri de noantri".io maruccia me lo figuro cosi': http://fscomps.fotosearch.com/compc/CSP/CSP432/k4320294.jpg
        • nome e cognome scrive:
          Re: Amd e GPU
          - Scritto da: Sg@bbio
          Secondo l'articolista, AMD e in difficoltà pure
          nelle GPU, cosa non propriamente
          vera.Non è che lo dice l'articolista, lo dice AMD e il quartely report è un po' più affidabile delle impressioni dei lettori... la divisione computing & graphics (GPU) perde 76 milioni di dollari nel 2014, un po' meglio del 2013 quando ne perdette 101 ma sempre segno negativo.AMD si rifà molto bene, e in crescita, nell'embedded dove invece entrano i proventi dovuti alle console.
Chiudi i commenti