Alessandro Del Rosso

IETF risolve la falla di TLS/SSL

L'organizzazione che sviluppa e promuove gli standard di Internet ha approvato una modifica al protocollo. Per risolvere un pericoloso problema di sicurezza emerso lo scorso anno. Manca solo la ratifica dello standard

Roma - La Internet Engineering Task Force (IETF) ha approvato la draft finale di una modifica al Transport Layer Security (TLS), un protocollo utilizzato per proteggere la maggior parte delle transazioni online, che dovrebbe risolvere un serio problema di sicurezza. Tale problema è emerso molti mesi fa, ma è stato reso pubblico soltanto lo scorso novembre.

A rendere la debolezza di pubblico dominio sono stati i ricercatori Marsh Ray e Steve Dispensa della società Phone Factor, i quali hanno spiegato che un aggressore potrebbe riuscire a rinegoziare una comunicazione TLS/SSL e inoculare nel flusso di dati dei comandi a sua scelta.

Sebbene alcuni esperti sostengano che gli scenari di attacco siano assai ristretti, uno studente turco ha recentemente dimostrato come questa falla possa essere utilizzata per sottrarre le password di Twitter. La risposta del celebre social network è stata disattivare la rinegoziazione delle connessioni TLS.
La patch appena approvata da IETF impedisce che un attacco man in the middle possa consentire ad un aggressore di rinegoziare la connessione cifrata e dirottarne il flusso dei dati. La storica task force ha però ammesso che la correzione potrebbe richiedere molti mesi perché venga applicata a tutte le implementazioni di TLS in circolazione e si propaghi all'intera Internet. La proposta IETF ora passerà al vaglio dell'ente che si occupa della gestione dello standard per la ratifica finale: i principali produttori di soluzioni che integrano il protocollo hanno comunque già iniziato a includere le specifiche contenute nel draft finale nel proprio codice.

Alessandro Del Rosso
Notizie collegate
  • SicurezzaUn buco in SSL scuote la ReteUna task force composta dagli esperti di sicurezza di numerose grandi aziende e organizzazioni sta lavorando alla risoluzione di una seria vulnerabilitÓ di sicurezza nel protocollo SSL, utilizzato per cifrare le transazioni online
7 Commenti alla Notizia IETF risolve la falla di TLS/SSL
Ordina
  • Come da oggetto.


    Ps:

    La notizia anche se leggermente vecchia è interessante, e poi ci si lamenta perché Punto-Informatico pubblica spesso articoli acchiappa-troll, certo le notizie serie generano sempre pochi commenti.
  • Il problema è molto limitato, si applica soltanto a protocolli progettati molto male (come l'autenticazione di Twitter), ed esistono workaround anche in questi casi, come disattivare la rinegoziazione.

    Un po' difficile pensare che sia sottovalutato. Correttamente hanno fissato il protocollo, ma ci sono in giro cose molto più pericolose, come tutte le versioni di Acrobat Reader e di Flash esploitabili per installare malware o bypassare le autenticazioni di siti che si basano su Flash.


    Cordiali saluti
  • Scusami la curiosità, ma che intendi per bypassare la vulnerabilità di flash? Flash invia semplicemente le credenziali ad uno script server side via get o post, come si farebbe come html... poi non so fors eho capito male che intendevi dire
    non+autenticato
  • - Scritto da: paulista
    > Scusami la curiosità, ma che intendi per
    > bypassare la vulnerabilità di flash?

    Ho scritto bypassare l'autenticazione basata su Flash. Facile come maneggiare un ActionScript con un tool open source.



    Cordiali saluti
  • - Scritto da: markoer
    > - Scritto da: paulista
    > > Scusami la curiosità, ma che intendi per
    > > bypassare la vulnerabilità di flash?
    >
    > Ho scritto bypassare l'autenticazione basata su
    > Flash. Facile come maneggiare un ActionScript con
    > un tool open
    > source.
    >
    >

    LOL. Quella sarebbe un'autenticazione? Le credenziali sono incluse nell'swf (!) e quindi vanno dritte dritte sul client. Non la chiamerei "autenticazione basata su flash". L'obiezione di paulista mi sembra sensata. Se ci sono sviluppatori flash (o javascript, per esempio) che non conoscono il loro lavoro (e/o non conoscono -alla radice- le differenze fra lato server e lato client) questa NON è una vulnerabilità del software.

    Saluti.
    non+autenticato
  • Si, ma la mia era più una critica verso chi si lamenta perché punto-informatico spesso pubblica articoli acchiappa-troll.

    Comunque, a flash player e Adobe Reader, dobbiamo aggiungere IE con suoi Active X.
  • - Scritto da: gnulinux86
    > Si, ma la mia era più una critica verso chi si
    > lamenta perché punto-informatico spesso pubblica
    > articoli acchiappa-troll.

    Questo continua a farlo comunque Sorride


    > Comunque, a flash player e Adobe Reader, dobbiamo
    > aggiungere IE con suoi Active X.

    Ce ne sono tante di cose da aggiungere, ma Adobe ha fissato almeno 7 CVE con una patch che ci ha messo settimane ad uscire e che richiedeva di disabilitare completamente Javascript. Microsoft è diventata anni luce più diligente sul fronte security.


    Cordiali saluti