Alfonso Maruccia

SSL, DoS a portata di laptop

Un gruppo di hacker tedeschi rilascia il suo tool per buttar giù i server di autenticazione. Il software sfrutta una funzionalità poco nota dello standard SSL, ma comunque nefasta

Roma - Lo standard di comunicazione cifrata SSL è un problema anche quando non si fa affidamento a vulnerabilità ed exploit: a sostenerlo il gruppo tedesco "The Hacker's Choice" (THC), che ha rilasciato un tool capace di portare un attacco DoS (denial of service) contro un server SSL usando una quantità modesta di capacità computazionale e banda dati per la connessione.

Il tool, THC-SSL-DOS, si limita a sfruttare un funzionalità del protocollo SSL nota come "SSL renegotiation", normalmente utilizzata per rinegoziare lo scambio di pacchetti di dati contenenti la chiave crittografica su una connessione protetta da SSL.

Si tratta di una funzionalità usata di rado, spiegano quelli di THC, e pur tuttavia ben pochi amministratori di sistema si prendono la briga di disabilitarla sui server sotto la loro responsabilità. Con la rinegoziazione SSL abilitata, il tool DoS teutonico sarebbe in grado di ridurre in ginocchio il server bersaglio facendo uso di un banalissimo laptop e una connessione DSL standard.
Anche senza la funzionalità di SSL renegotiation, sostiene THC, THC-SSL-DOS potrebbe abbattere un'intera "server farm" usando solo 20 laptop "ordinari" e 120 Kilobit di banda al secondo. La distribuzione del tool per DoS fatti in casa, dice il collettivo di hacker tedeschi, servirà augurabilmente a esporre i problemi infrastrutturali del protocollo SSL e spingerà l'industria tecnologica a metterci finalmente una pezza.

Alfonso Maruccia
Notizie collegate
  • SicurezzaSSL, problemi bestialiDue ricercatori sostengono di aver realizzato un attacco in grado di mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS. Una faccenda seria, avvertono, che si risolve solo con un aggiornamento complessivo del software in uso
  • AttualitàGoogle e le precauzioni del searchTutti gli utenti registrati ai servizi di BigG potranno navigare al riparo, grazie all'adozione generalizzata del protocollo SSL. Contro hacker e altri spioni del web
5 Commenti alla Notizia SSL, DoS a portata di laptop
Ordina
  • "La distribuzione del tool per DoS fatti in casa, dice il collettivo di hacker tedeschi, servirà augurabilmente a esporre i problemi infrastrutturali del protocollo SSL e spingerà l'industria tecnologica a metterci finalmente una pezza."

    Mi auguro sia sufficiente l’aver dimostrato la vulnerabilità per far correre tutti ai ripari senza bisogno di distribuire il tool, altrimenti è come dire: «Regalo kit di armi batteriologiche così la società si attrezza per difendersi».
    Teo_
    2654
  • - Scritto da: Teo_
    > "La distribuzione del tool per DoS fatti in casa,
    > dice il collettivo di hacker tedeschi, servirà
    > augurabilmente a esporre i problemi
    > infrastrutturali del protocollo SSL e spingerà
    > l'industria tecnologica a metterci finalmente una
    > pezza."

    > Mi auguro sia sufficiente l’aver dimostrato la
    > vulnerabilità per far correre tutti ai ripari
    > senza bisogno di distribuire il tool, altrimenti
    > è come dire: «Regalo kit di armi
    > batteriologiche così la società si attrezza per
    > difendersi».

    La vulnerabilita' si sapeva da una vita e nessuno e' mai corso ai ripari... E' un problema del protocollo. E nessuno ha fatto niente fin'ora, perche' avrebbe dovuto cambiare qualcosa ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Teo_
    > > "La distribuzione del tool per DoS fatti in
    > casa,
    > > dice il collettivo di hacker tedeschi,
    > servirà
    > > augurabilmente a esporre i problemi
    > > infrastrutturali del protocollo SSL e
    > spingerà
    > > l'industria tecnologica a metterci
    > finalmente
    > una
    > > pezza."
    >
    > > Mi auguro sia sufficiente l’aver dimostrato
    > la
    > > vulnerabilità per far correre tutti ai ripari
    > > senza bisogno di distribuire il tool,
    > altrimenti
    > > è come dire: «Regalo kit di armi
    > > batteriologiche così la società si attrezza
    > per
    > > difendersi».
    >
    > La vulnerabilita' si sapeva da una vita e nessuno
    > e' mai corso ai ripari... E' un problema del
    > protocollo. E nessuno ha fatto niente fin'ora,
    > perche' avrebbe dovuto cambiare qualcosa
    > ?

    OK per l’SSL renegotiation: li chi c’è chi si è mosso e chi non lo ha fatto si arrangi, ma l’altro tipo di attacco non ho capito se si riferisce a qualsiasi connessione SSL o solo se il server usa la (bacata) TLS 1.0.
    Intendo dire che: se la soluzione è passare a TLS 1.1/2 OK, un po’ di strizza può far bene, ma se al momento non ci sono soluzioni, è come dare gli strumenti a chiunque per fare un attacco terroristico.
    Teo_
    2654
  • Quando segnalai io la cosa ad Apple, mi dissero che era una features e che non poteva mai accadere. Oggi gli iPhogn sono tutti potenziali bersagli...
    non+autenticato
  • Hanno fatto bene. È una cosa risaputa (e non si capisce perchè un protocollo del genere debba agire in questo modo). Forse adesso le cose miglioreranno.
    non+autenticato