SSL, problemi bestiali

Due ricercatori sostengono di aver realizzato un attacco in grado di mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS. Una faccenda seria, avvertono, che si risolve solo con un aggiornamento complessivo del software in uso

Roma – C’è aria di grossa crisi nel campo della sicurezza applicata alle connessioni Internet su web: non bastasse lo scandalo DigiNotar e tutto quel che ne consegue, un nuovo, duro colpo alla navigazione a mezzo protocollo HTTPS arriva dal lavoro di ricerca di Juliano Rizzo e Thai Duong, apparentemente creatori di un attacco in grado di superare in scioltezza la cifratura messa in atto da certificati SSL e TLS.

Rizzo e Duong hanno battezzato il loro attacco BEAST, acronimo che sta per “Browser Exploit Against SSL/TLS”. La presentazione del lavoro avverrà il prossimo venerdì a una conferenza sulla sicurezza che si terrà a Buenos Aires, ma già da ora i due ricercatori parlano di un attacco difficile da bloccare se non con un massiccio sforzo di riconversione da parte di una fetta significativa di servizi web.

BEAST sfrutta in realtà una vulnerabilità già nota da anni, che viene in effetti resa innocua dalle versioni di TLS successive alla 1.0 (1.1 o 1.2): il problema stà nel fatto che ancora oggi i siti web usano il protocollo TLS originario (1.0 appunto) e sono quindi a rischio di compromissione.

Il codice creato da Rizzo e Duong agisce come un classico attacco “man-in-the-middle” ed è composto da due diversi componenti: la prima parte di BEAST è il codice che va caricato all’interno del browser web della vittima, mentre la seconda si incarica di catturare e decrittare il i cookie di sessione HTTPS. In media, stimano i due ricercatori, occorrono cinque minuti per leggere in chiaro le informazioni contenute nei cookie cifrati.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • mikronimo scrive:
    Costi...
    Non mi sono messo a cercare quanti soldi il Signor Virgin sta investendo nel suo progetto (pochi non saranno), ma mi fa una certa impressione vedere che la NASA metta in campo oltre un miliardo per "partecipare", invece di programmare un proprio sviluppo a lungo termine (o magari "mentre" lo sta' facendo); NASA, nonostante gli vengano regolarmente tagliati i fondi, seguita a buttare soldi in un mare di progetti, invece di concentrarsi in uno singolo, che possa dargli un veicolo riutilizzabile con una durata vitale prevista che dovrebbe superare il mezzo secolo o anche più; questo per il semplice motivo che non può più permettersi di reinventare nuove navette ogni 10-20 anni, come pensava di fare con Shuttle (che è un progetto della fine degli anni '70 e che è stato prolungato solo in attesa delle nuove meravigliose navette: tanti progetti, nessun risultato finale); nel corso della vita del progetto Shuttle ha acquisito (anche tragicamente) conoscenze su materiali, strutture e propulsione tali da consentirgli uno step avanti, che invece non sta mettendo in campo; il problema è sempre stato la smania di voler eccellere (e finita la guerra fredda non c'era più questa neccessità), andando ai confini delle conoscenze; ora dovrebbe (se lo hanno capito, sono decisamente fuori tempo massimo) solo mirare al risultato di avere delle macchine "utili", che semplicemente facciano il lavoro per cui sono nate, senza dover puntare a strabiliare il mondo; se un privato, che per quanto ricco non potrà mai disporre del denaro di una agenzia statale americana, può provarci e quasi sicuramente riuscirci, NASA può fare come se non meglio senza spendere le solite mega cifre; non essendo un ingegnere aero-spaziale sicuramente non mi rendo conto di cosa possa comportare un certo di tipo di progettazione, ma seguito ad avere la sensazione che, nel momento che si è voluto cercare di andare oltre al progetto Shuttle, piuttosto che aggiornarlo, NASA abbia perso una grande occasione che ora difficilmente potrà recuperare; la struttura delle navette NASA (capiti i punti deboli e correttili) era valida e se è vero come è vero che le navette ancora in servizio erano vecchie, non si capisce perché non costruirne di nuove, correggendo e migliorando (allo stato delle nuove conoscenze sui materiali e sulle strutture) ciò che già c'era. Ora si dovranno accontentare delle Soyuz (che volano ancora nella stessa configurazione e con le stesse tecnologie di 30 o più anni fa) o di aeroplanini privati adattati al volo in orbita bassa.-----------------------------------------------------------Modificato dall' autore il 21 settembre 2011 16.21----------------------------------------------------------------------------------------------------------------------Modificato dall' autore il 21 settembre 2011 16.21----------------------------------------------------------------------------------------------------------------------Modificato dall' autore il 21 settembre 2011 16.23-----------------------------------------------------------
    • Enrico Richetti scrive:
      Re: Costi...
      Voglio solo far notare che il progetto della Virgin non e' orbitale ma sub-orbitale.Cio' implica velocita' di rientro e conseguentemente temeprature e stress meccanici da sopportare, decisamente inferiori, e paragonabili a quelle di normali aeroplani supersonici.Ciao
      • mikronimo scrive:
        Re: Costi...
        Giusta correzione; in realtà lo sapevo ma ho scritto male, infatti parlo di orbita bassa in chiusura.
        • OldDog scrive:
          Re: Costi...
          - Scritto da: mikronimo
          Giusta correzione; in realtà lo sapevo ma ho
          scritto male, infatti parlo di orbita bassa in
          chiusura.Continua a NON essere un'orbita, in quanto Spaceship 2 ad oggi non è in grado di andare oltre una parabola e non può fare nemmeno UN giro in orbita al pianeta. Vero è che stanno studiando future evoluzioni, ma credo siano lontane rispetto al progetto iniziale.
          • mikronimo scrive:
            Re: Costi...
            Raggiungere l'orbita bassa non vuol dire orbitare in orbita bassa. Ma poi perché sempre perdere tempo in cavilli, piuttosto che ragionare sulla sostanza delle cose?
          • OldDog scrive:
            Re: Costi...
            - Scritto da: mikronimo
            Raggiungere l'orbita bassa non vuol dire orbitare
            in orbita bassa. Ma poi perché sempre perdere
            tempo in cavilli, piuttosto che ragionare sulla
            sostanza delle cose?Sulla sostanza ti ho scritto nell'altro post, senza nessuna polemica. Non volevo cavillare, ma semplicemente sottolineare che l'uso di certi termini in maniera diversa rischia di ingenerare equivoci. Se ti sparano con una catapulta all'altezza del Monte Bianco (si fa per dire) non hai "raggiunto il Monte Bianco" per nessun alpinista. :-)
    • OldDog scrive:
      Re: Costi...
      - Scritto da: mikronimo
      mi fa una certa
      impressione vedere che la NASA metta in campo
      oltre un miliardo per "partecipare", invece di
      programmare un proprio sviluppo a lungo termine
      (o magari "mentre" lo sta' facendo); NASA,
      nonostante gli vengano regolarmente tagliati i
      fondi, seguita a buttare soldi in un mare di
      progetti, invece di concentrarsi in uno singolo,Non è così. NASA ha l'ordine esplicito di impiegare fondi per sostenere il decollo dell'industria privata nel settore, sostenendo diversi progetti come diversificazione del rischio (non mettere tutte le uova nello stesso paniere), versando denaro solo a fronte di risultati progressivi evidenziati (accensione al banco del motore, prova dell'elettronica di comando, ecc.).
      nel corso della vita del
      progetto Shuttle ha acquisito (anche
      tragicamente) conoscenze su materiali, strutture
      e propulsione tali da consentirgli uno step
      avanti, che invece non sta mettendo in campo; ha dimostrato invece che il progetto era eccessivamente ambizioso ed economicamente non sostenibile, come accadde per il Concorde. Gli incidenti di entrambi hanno solo affrettato l'inevitabile.Infatti la stessa NASA era tornata a Orion, un simil Gemini/Apollo più capiente.
      se un privato, che per quanto ricco non potrà mai
      disporre del denaro di una agenzia statale
      americana, può provarci e quasi sicuramente
      riuscirci, NASA può fare come se non meglio senza
      spendere le solite mega cifre; non essendo un
      ingegnere aero-spaziale sicuramente non mi rendo
      conto di cosa possa comportare un certo di tipo
      di progettazione, ma seguito ad avere la
      sensazione che, nel momento che si è voluto
      cercare di andare oltre al progetto Shuttle,
      piuttosto che aggiornarlo, NASA abbia perso una
      grande occasione
      si dovranno accontentare delle Soyuz (che volano
      ancora nella stessa configurazione e con le
      stesse tecnologie di 30 o più anni fa) In realtà i sovietici hanno fatto quello che tu suggerisci: hanno rivisitato le soyuz (sia nei materiali che nell'elettronica) tenendo saldi i punti forti del progetto. NON sono le stesse capsule di trent'anni fa. Solo che andare nello spazio non è come prendere la metropolitana: prima o poi qualcuno muore. Se vuoi il rischio zero stai a casa, non vai in orbita. :-)
  • Il Panca scrive:
    Prevedo tariffe stellari
    c.d.o.
    • OldDog scrive:
      Re: Prevedo tariffe stellari
      - Scritto da: Il Panca
      c.d.o.Tipo taxi Fiumicino - Roma di notte? :-DSe non ricordo male il volo suborbitale di Virgin è "offerto" a circa 100mila dollari a ricercatori che vogliano fare brevi esperimenti a microgravità (i pochi minuti all'apice della parabola). Alcune università si sono messe in coda.
Chiudi i commenti