LOGO - Home Page
Alcuni partner di Safetal - Scopri come diventare Partner!

Condividi questa pagina sul Social Network a cui sei già loggato!

SSL, problemi bestiali


Due ricercatori sostengono di aver realizzato un attacco in grado di mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS. Una faccenda seria, avvertono, che si risolve solo con un aggiornamento complessivo del software in uso

C'è aria di grossa crisi nel campo della sicurezza applicata alle connessioni Internet su web: non bastasse lo scandalo DigiNotar e tutto quel che ne consegue, un nuovo, duro colpo alla navigazione a mezzo protocollo HTTPS arriva dal lavoro di ricerca di Juliano Rizzo e Thai Duong, apparentemente creatori di un attacco in grado di superare in scioltezza la cifratura messa in atto da certificati SSL e TLS.

Rizzo e Duong hanno battezzato il loro attacco BEAST, acronimo che sta per "Browser Exploit Against SSL/TLS". La presentazione del lavoro avverrà il prossimo venerdì a una conferenza sulla sicurezza che si terrà a Buenos Aires, ma già da ora i due ricercatori parlano di un attacco difficile da bloccare se non con un massiccio sforzo di riconversione da parte di una fetta significativa di servizi web.

BEAST sfrutta in realtà una vulnerabilità già nota da anni, che viene in effetti resa innocua dalle versioni di TLS successive alla 1.0 (1.1 o 1.2): il problema stà nel fatto che ancora oggi i siti web usano il protocollo TLS originario (1.0 appunto) e sono quindi a rischio di compromissione.

Il codice creato da Rizzo e Duong agisce come un classico attacco "man-in-the-middle" ed è composto da due diversi componenti: la prima parte di BEAST è il codice che va caricato all'interno del browser web della vittima, mentre la seconda si incarica di catturare e decrittare il i cookie di sessione HTTPS. In media, stimano i due ricercatori, occorrono cinque minuti per leggere in chiaro le informazioni contenute nei cookie cifrati.
 
Fonte: Punto Informatico

Tutte le news
  Prodotti
ART - Operatori...
Vedi »
Polvere estinguente abc 40%...
Vedi »
Centrale rilevazione gas a 16...
Vedi »
Cassaforte Star
Vedi »
Effetto ventosa: video...
Vedi »
TESTO UNICO DI SICUREZZA DEL...
Vedi »
Sistema di gestione della...
Vedi »
Sistema di allarme anti...
Vedi »
IGLE - HSE Mobile Data...
Vedi »
Sistema di registrazione e di...
Vedi »
Vedi tutti i prodotti...

DAITEM WoltersKluwer.it Mega Italia Media LibriSicurezza.it