Crackabili le e-mail protette con SSL

I lucchetti di OpenSSL che proteggono le e-mail possono essere spezzati. A dimostrarlo è stato un gruppo di esperti di crittografia che ha decodificato delle password di posta elettronica. Niente rischi per l'e-commerce

Losanna (Svizzera) - Un gruppo di ricercatori svizzeri dell'Università di Losanna sostiene di aver trovato un metodo per decodificare un messaggio criptato utilizzando il Secure Socket Layer (SSL), un diffuso protocollo di sicurezza utilizzato per fornire una connessione sicura fra client e server.

La vulnerabilità interessa le versioni precedenti alla 0.9.6i e 0.9.7a di OpenSSL, la diffusissima implementazione open source del protocollo SSL.

Il professor Serge Vaudenay, a capo del team che ha scoperto la falla, ha descritto nei dettagli il proprio attacco in un documento nel quale dimostra come sia possibile, per un cracker che riesca a sniffare le comunicazioni che avvengono fra un client di posta elettronica e un server sicuro, decodificare porzioni del messaggio, come la password.
Vaudenay ha voluto evitare ogni allarmismo sottolineando come la debolezza appena scoperta in OpenSSL, benché non trascurabile, può essere sfruttata con una certa probabilità di successo solo con le e-mail: le transazioni sicure che avvengono via Web, come quelle di e-commerce, non sarebbero pertanto a rischio.

OpenSSL.org, che ha pubblicato un advisory qui, ha già rilasciato due nuove versioni del proprio software, la 0.9.7a e la 0.9.6i, che correggono il problema.
TAG: sicurezza
25 Commenti alla Notizia Crackabili le e-mail protette con SSL
Ordina
  • Leggo:

    "If upgrading to OpenSSL 0.9.7a (the recommended version) or to OpenSSL
    0.9.6i is not immediately possible, the following patch should be
    applied to the OpenSSL source code tree. The patch is compatible
    with OpenSSL 0.9.6e and later."

    Ma anziche fare 1000 e 1000(cit.) versioni di un software non sarebbe meglio farne meno togliere il supporto alle versioni piu' vecchie e rilasciare patch senza rilasciare nuove versioni?

    Secondo me il rilascio di una versione ogni mese porta ad enormi problemi per l'aggiornamento...
    non+autenticato
  • il problema è che molte versioni più vecchie sono ancora usate in moltissimi sistemi, proprio perché più testate. chi amministra grossi server di solito usa versioni mooooolto datate ma più che sicure.
  • - Scritto da: godzilla
    > il problema è che molte versioni più vecchie
    > sono ancora usate in moltissimi sistemi,
    > proprio perché più testate. chi amministra
    > grossi server di solito usa versioni
    > mooooolto datate ma più che sicure.

    Visto che questa patch si può applicare solo da una certa versione in poi vuol dire che le versioni precedenti sono vulnerabili...

    Non mi sembrano più che sicure!
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Visto che questa patch si può applicare solo
    > da una certa versione in poi vuol dire che
    > le versioni precedenti sono vulnerabili...

    ...o forse che non ne hanno bisogno...

    può darsi che mi stia sbagliando io, ovviamente.

    ciao
    godzilla
  • - Scritto da: godzilla
    >
    > - Scritto da: Anonimo
    > >
    > > Visto che questa patch si può applicare
    > solo
    > > da una certa versione in poi vuol dire che
    > > le versioni precedenti sono vulnerabili...
    >
    > ...o forse che non ne hanno bisogno...
    >
    > può darsi che mi stia sbagliando io,
    > ovviamente.
    >
    > ciao
    > godzilla


    Visto che però non è patchabile(le patch si possono applicare solo dalla versione x.xx.xx in poi) è virtualmente fuori "assistenza"; non è pericoloso?

    non+autenticato

  • - Scritto da: Anonimo
    >
    >
    > Visto che però non è patchabile(le patch si
    > possono applicare solo dalla versione
    > x.xx.xx in poi) è virtualmente fuori
    > "assistenza"; non è pericoloso?
    >

    aspetta un attimo. non è necessariamente così, e per diversi motivi:

    - il semplice fatto che la patch non si applichi a determinate versioni non significa che siano vulnerabili e lo rimangano; quasi sempre significa che non sono vulnerabili affatto

    - questo è facilmente verificabile, dando un'occhiata al sorgente (e vorrei che qui si evitassero i soliti flames)

    - se continuo ad utilizzare una versione vecchia posso (a) patcharmela da solo oppure (b) pagare qualcuno che lo faccia per me. è un vantaggio del software opensource e uno dei modi in cui gli sviluppatori opensource possono guadagnarsi il pane. se poi non ne ho voglia/tempo/disponibilità posso sempre aggiornare ad una versione più nuova o che ritengo più sicura

    tieni conto che molti sysadmin non scaricano mai pacchetti precompilati ma preferiscono compilare a manina i tar.gz dei sorgenti. almeno sanno quello che hanno in mano, con quali versioni delle librerie vanno a linkare e così via. e questo, sebbene molti non ci facciano mai caso, è un altro aspetto della sicurezza non da poco.

    ciao
    godzilla
  • ehi,anch'io studio ing.informatica! Ma con linux faccio a pugni Triste
    Ho appea aggiornato il kernel della red hat 7.3 e ora mi va solo in modalità testuale (niente login grafico, niente gnome...)
    Mah... linux non è adatto a chi viene da windows,è ancora un S.O. "di pazienza".
    pieggi
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Mah... linux non è adatto a chi viene da
    > windows,è ancora un S.O. "di pazienza".

    chi l'ha detto? anch'io venivo da windows, e la prima volta per far girare il kernel nuovo l'ho dovuto ricompilare 25 volte! ma, guarda, è come la bicicletta: all'inizio si cade, ma una volta che impari a guidarla non la dimentichi piùSorride

    non ti scoraggiare
    ciao
    godzilla
  • Prima che qualcuno osi trollare...
    non+autenticato

  • - Scritto da: Anonimo
    > Prima che qualcuno osi trollare...
    >
    Non e' importante quando viene rilasciata.
    E' importante quando viene aggiornata sui vari sistemi.
    non+autenticato

  • - Scritto da: Anonimo
    > E' importante quando viene aggiornata sui
    > vari sistemi.

    ti correggo: è importante *anche* quando viene aggiornata sui vari sistemi. non è che deve venire il diavoletto di BSD ad installarmela a casa.

  • - Scritto da: Anonimo
    > Prima che qualcuno osi trollare...

    Le patch testate per 5 minuti mi fanno piu' paura dei bug (su qualunque sistema/prodotto).
    non+autenticato
  • hai il codice sorgente dell'applicazione. hai il codice sorgente della patch. se non ti fidi vai a controllare.
    e non rompere.

  • - Scritto da: godzilla
    > hai il codice sorgente dell'applicazione.
    > hai il codice sorgente della patch. se non
    > ti fidi vai a controllare.
    > e non rompere.

    Eggia'... Vai a sapere che che la patch non faccia casini con il pacchetto xyz versione 1.2.3.4.5.6revb. Ma naturalmente tu non hai null'altro da fare nella vita che guardare sorgenti.
    non+autenticato
  • no, ma personalmente ritengo sia molto meglio una patch testata poco (ma cmq testata) dopo poche ore che una patch ultratestatissima dopo 2 settimane (e che magari funziona male nonostante i test, vedasi http://punto-informatico.it/p.asp?i=43087 )

    ci siamo capiti, spero...
  • Perfettamente d'accordo se stiamo parlando di PC,
    un po' meno se parliamo di server di produzione...
    pensa ad un sito di trading on line.

    Forse e' meglio rischiare con un bug di sicurezza per 2 settimane piuttosto che installare una pach che ti puo' bloccare tutto per 2 ore....

    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Prima che qualcuno osi trollare...
    >
    > Le patch testate per 5 minuti mi fanno piu'
    > paura dei bug (su qualunque
    > sistema/prodotto).

    Allora tieniti i bug!
    non+autenticato
  • > Le patch testate per 5 minuti mi fanno piu'
    > paura dei bug (su qualunque
    > sistema/prodotto).

    Di solito associate ai codici sorgenti vi è una batteria di programmi di test. Si corregge il bug e si lancia l'esecuzione di tutti i test. Se tutti i test vengono superati la patch viene rilasciata.

    Non è una garanzia di totale perfezione, ovvio. Ma se hai qualche idea migliore faccela sapere.
    non+autenticato
  • > Prima che qualcuno osi trollare...

    grazie a sta ceppa, hanno scoperto dove sta l'errore, che ci vuole a rilasciare la patch dopo...
    il problema e' che sono vulnerabili tutte le versioni precedenti a quella patchata e lo sono state per lunghisimo tempo
    non+autenticato