Alfonso Maruccia

SSL, problemi bestiali

Due ricercatori sostengono di aver realizzato un attacco in grado di mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS. Una faccenda seria, avvertono, che si risolve solo con un aggiornamento complessivo del software in uso

SSL, problemi bestialiRoma - C'è aria di grossa crisi nel campo della sicurezza applicata alle connessioni Internet su web: non bastasse lo scandalo DigiNotar e tutto quel che ne consegue, un nuovo, duro colpo alla navigazione a mezzo protocollo HTTPS arriva dal lavoro di ricerca di Juliano Rizzo e Thai Duong, apparentemente creatori di un attacco in grado di superare in scioltezza la cifratura messa in atto da certificati SSL e TLS.

Rizzo e Duong hanno battezzato il loro attacco BEAST, acronimo che sta per "Browser Exploit Against SSL/TLS". La presentazione del lavoro avverrà il prossimo venerdì a una conferenza sulla sicurezza che si terrà a Buenos Aires, ma già da ora i due ricercatori parlano di un attacco difficile da bloccare se non con un massiccio sforzo di riconversione da parte di una fetta significativa di servizi web.

BEAST sfrutta in realtà una vulnerabilità già nota da anni, che viene in effetti resa innocua dalle versioni di TLS successive alla 1.0 (1.1 o 1.2): il problema stà nel fatto che ancora oggi i siti web usano il protocollo TLS originario (1.0 appunto) e sono quindi a rischio di compromissione.
Il codice creato da Rizzo e Duong agisce come un classico attacco "man-in-the-middle" ed è composto da due diversi componenti: la prima parte di BEAST è il codice che va caricato all'interno del browser web della vittima, mentre la seconda si incarica di catturare e decrittare il i cookie di sessione HTTPS. In media, stimano i due ricercatori, occorrono cinque minuti per leggere in chiaro le informazioni contenute nei cookie cifrati.

Alfonso Maruccia
Notizie collegate
  • SicurezzaDigiNotar, non finisce quiIl responsabile della breccia nei server della "certificate authority" olandese minaccia sfaceli, mentre l'industria reagisce con consigli, blacklist e richiami urgenti a incrementare le misure di sicurezza
62 Commenti alla Notizia SSL, problemi bestiali
Ordina
  • Ok, letti i commenti mando la richiesta in OT. Pardòn, ora ho compreso meglio.
    non+autenticato
  • Non si sa più niente di questa notizia??

    A me pare quel tantino importante.. non trovate?
    non+autenticato
  • usa IE9 è fai prima.
    non+autenticato
  • - Scritto da: P4......... ......
    > usa IE9 è fai prima.

    IE9 non previene l'attacco
    non+autenticato
  • - Scritto da: Lui Gino
    > IE9 non previene l'attacco

    beata la tua ignoranza!
    non+autenticato
  • - Scritto da: Lui Gino
    > IE9 non previene l'attacco

    quale parte di "TLS 1.1 or 1.2 are not vulnerable to it" non ti è chiara?
    non+autenticato
  • - Scritto da: mills
    > - Scritto da: Lui Gino
    > > IE9 non previene l'attacco
    >
    > quale parte di "TLS 1.1 or 1.2 are not vulnerable
    > to it" non ti è
    > chiara?

    Che se il server non lo supporta (e su un milione sono stati trovati solo 11 server) il browser una la 1.0

    E su IE9 TSL 1.1 e 1.2 sono disabilitati a default.
    non+autenticato
  • - Scritto da: Lui Gino
    > Che se il server non lo supporta

    però se lo supporta sei al sicuro.
    Meglio avere possibilità o non avercele?

    >
    > E su IE9 TSL 1.1 e 1.2 sono disabilitati a
    > default.

    Ma puoi abilitarli se vuoi, senza dover installare nulla.
    Non eri tu che nel post precedente consigliavi di installare noscript agli utenti di Firefox? Rotola dal ridere
    non+autenticato
  • - Scritto da: mills
    > - Scritto da: Lui Gino
    > > Che se il server non lo supporta
    >
    > però se lo supporta sei al sicuro.
    > Meglio avere possibilità o non avercele?
    >
    > >
    > > E su IE9 TSL 1.1 e 1.2 sono disabilitati a
    > > default.
    >
    > Ma puoi abilitarli se vuoi, senza dover
    > installare
    > nulla.
    > Non eri tu che nel post precedente consigliavi di
    > installare noscript agli utenti di Firefox?
    > Rotola dal ridere

    Anche se li abiliti ma il server non li supporta sei vulnerabile ugualmenteSorride

    Con NoScript previeni l'attacco alla radice cioè l'iniezione dello script o iframe malevolo
    non+autenticato
  • - Scritto da: Lui Gino
    > Anche se li abiliti ma il server non li supporta
    > sei vulnerabile ugualmente

    però se li supporta sei al sicuro, mentre con firefox sei sempre bucabile
    non+autenticato
  • - Scritto da: mills
    > - Scritto da: Lui Gino
    > > Anche se li abiliti ma il server non li
    > supporta
    > > sei vulnerabile ugualmente
    >
    > però se li supporta sei al sicuro, mentre con
    > firefox sei sempre
    > bucabile

    Se li supporta e usi IE9 sei bucabile ugualmente perchè sono disabilitati
    Comunque il problema è che sono pochi, o meglio pochiismi i siti che supportano TLS 1.2 (su 1 milione solo 11)

    Con Firefox invece puoi proteggerti con NoScript già da adesso
    Per gli altri browser bisogna aspettare per forza la patch
    non+autenticato
  • - Scritto da: Lui Gino
    > L'estensione NoScript di Firefox previene
    > l'attacco

    non previene un bel niente, semplicemente non ti fa funzionare più nulla nemmeno il sito che tu vorresti visitare visto che senza javascript non vai da nessuna parte.
    non+autenticato
  • le vecchie versioni di ssl sono bucabili? le nuove no?
    e allora a che servono le nuove versioni?
    non+autenticato
  • - Scritto da: non fumo non bevo e non dico parolacce
    > le vecchie versioni di ssl sono bucabili? le
    > nuove
    > no?
    > e allora a che servono le nuove versioni?

    Non servono alla serie mozilla purtroppo
    a meno che non aggiornino a TLS 1.1
  • Interessante notare come Firefox sia più vulnerabile di tutti, in quanto utilizza SOLO TLS 1.0, a differenza di tutti gli altri browser che sono migrati a 1.1 o superiore da un bel pezzo.

    Meditate gente... Meditate

    Saluti da P4
    non+autenticato
  • - Scritto da: P4......... ......
    > Interessante notare come Firefox sia più
    > vulnerabile di tutti, in quanto utilizza SOLO TLS
    > 1.0, a differenza di tutti gli altri browser che
    > sono migrati a 1.1 o superiore da un bel
    > pezzo.
    >
    > Meditate gente... Meditate

    Probabilmente solo perché, come postato più sopra, la vulnerabilità era nota ma non risultava facilmente "exploitabile", adesso che è venuta fuori questa cosa, scommetto che a breve Firefox lo sistemano..
    non+autenticato
  • - Scritto da: P4......... ......
    > Interessante notare come Firefox sia più
    > vulnerabile di tutti, in quanto utilizza SOLO TLS
    > 1.0, a differenza di tutti gli altri browser che
    > sono migrati a 1.1 o superiore da un bel
    > pezzo.
    >
    > Meditate gente... Meditate
    >
    > Saluti da P4

    e comunque non cambia niente perché deve essere supportato anche dal server, altrimenti va in fallback e usa la versione 1.0, pure se usi un altro browser che supporta la 1.1 e 1.2
    non+autenticato
  • - Scritto da: Lui Gino
    > e comunque non cambia niente perché deve essere
    > supportato anche dal server, altrimenti va in
    > fallback e usa la versione 1.0

    inutile che ti arrampi sugli specchi... Firefox per l'ennesima volta dimostra quanto sia indietro in fatto di sicurezza. Non ha nemmeno uno straccio di sandbox!
    non+autenticato
  • se il server non supporta il nuovo protocollo il browser usa il vecchio,

    e tra l'altro su IE9 sia il 1.1 che 1.2 sono disabilitati a default

    La sandbox non previene questo attacco, mi spiace

    PS
    anche Chrome supporta solo il 1.0 ed ha la sandbox, ma è ugualmente vulnerabile
    non+autenticato
  • - Scritto da: Lui Gino
    > se il server non supporta il nuovo protocollo il
    > browser usa il vecchio,

    se... ma... forse... la certezza è che su Firefox sei vulnerabile SEMPRE!
    Capito mi hai?
    non+autenticato
  • - Scritto da: suc
    > - Scritto da: Lui Gino
    > > se il server non supporta il nuovo
    > protocollo
    > il
    > > browser usa il vecchio,
    >
    > se... ma... forse... la certezza è che su Firefox
    > sei vulnerabile
    > SEMPRE!
    > Capito mi hai?


    Non è così, perche anche tutti gli altri browser supportano questo rotocollo fallato, quindi è necessaria una patch per tutti i browser

    Per quanto riguarda le versioni del protocollo non fallate, cioè la 1.1 e la 1.2, non sono ampiamente adottate, ad esempio un'analisi di Qualys ha evidenziato che su 1 milione di siti analizzati solo 11, ripeto 11 supportavano il TLS 1.2, che ripeto su IE9 è disabilitato a default.

    Capito?
    non+autenticato
  • - Scritto da: Lui Gino
    > Non è così, perche anche tutti gli altri browser
    > supportano questo rotocollo fallato, quindi è
    > necessaria una patch per tutti i
    > browser

    continua pure ad arrampicarti...
    non+autenticato
  • - Scritto da: suc
    > - Scritto da: Lui Gino
    > > Non è così, perche anche tutti gli altri
    > browser
    > > supportano questo rotocollo fallato, quindi è
    > > necessaria una patch per tutti i
    > > browser
    >
    > continua pure ad arrampicarti...

    ne riparliamo quando la microsoft e tutti gli altri browser rilasceranno una patch...

    ps
    Opera ha già pronta una patch, nonostante supporti già TLS 1.1 e 1.2...

    Ciaoooooooooooooooooooo
    non+autenticato
  • - Scritto da: Lui Gino
    > ne riparliamo quando la microsoft e tutti gli
    > altri browser rilasceranno una
    > patch...

    nessuno ha mai detto che gli altri browser non abbiano bisogno di una patch per il TLS 1.0, ma ti stanno semplicemente facendo notare come gli altri browser hanno adottato da parecchio tempo protocolli più sicuri e che non sono affetti da questa falla.
    Tutto qui.
    non+autenticato
  • - Scritto da: mills
    > - Scritto da: Lui Gino
    > > ne riparliamo quando la microsoft e tutti gli
    > > altri browser rilasceranno una
    > > patch...
    >
    > nessuno ha mai detto che gli altri browser non
    > abbiano bisogno di una patch per il TLS 1.0, ma
    > ti stanno semplicemente facendo notare come gli
    > altri browser hanno adottato da parecchio tempo
    > protocolli più sicuri e che non sono affetti da
    > questa
    > falla.
    > Tutto qui.

    Non serve solo adottarli bisogna anche lasciarli attivati, e su IE è disattivato per motivi di compatibilità

    Inoltre deve essere adottato anche dai server altrimenti non serve a niente che il browser lo supporti
    Tutto qui.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)