Alfonso Maruccia

Rete cifrata, Rete bucata

Ennesimo attacco che prende di mira le comunicazioni SSL/TLS: anche in questo caso si parla di vulnerabilitÓ di lunga data contro algoritmi oramai obsoleti. Google, nel mentre, deve fare i conti con i soliti certificati non autentici

Roma - I ricercatori di sicurezza hanno ideato un nuovo attacco in grado di compromettere le comunicazioni cifrate veicolate attraverso gli standard SSL/TLS, un attacco che prende di mira l'algoritmo RC4 e non ha bisogno di meccanismi di tipo "man-in-the-middle" (MITM) per rubare informazioni sensibili e finanziarie.

L'attacco Bar Mitzvah è infatti in grado di sfruttare una vulnerabilità vecchia di 13 anni in un algoritmo ormai pensionato da tempo, eppure ancora supportato da server e browser Web per ragioni di compatibilità o di prestazioni.

Grazie a Bar Mitzvah, un malintenzionato potrebbe intercettare e registrare passivamente il traffico indirizzato all'interno di una connessione SSL, recuperando in maniera parziale messaggi testuali contenenti cookie, password e numeri di carte di credito.
Diversamente da attacchi scoperti nel recente passato come BEAST, POODLE o CRIME, dicono i ricercatori, con Bar Mitzvah è possibile rubare informazioni segrete permanenti e non solo i token della sessione temporanea aperta dal server. La capacità dello sniffing passivo dei dati - una delle varianti del nuovo attacco - senza l'uso di componenti man-in-the-middle rappresenta poi una novità senza precedenti.

Bar Mitzvah non ha bisogno di compromettere server da usare come intermediari malevoli, ma le aziende telematiche non perdono occasione di invogliare i cyber-criminali a sfruttare meccanismi MITM con errori più o meno umani, più o meno disastrosi per le potenziali conseguenze sulla sicurezza complessiva di Internet.

L'ultimo caso che facilita la proliferazione di attacchi MITM coinvolge ancora una volta Google, incappata nei certificati di sicurezza della società egiziana MCS Holdings riferiti ai domini di proprietà di Mountain View. MCS Holdings aveva a sua volta ricevuto i certificati dalla Certificate Authority (CA) cinese CNNIC, autorità che aveva di fatto fornito alla società del Cairo la capacità di "impersonare" Google e quindi di intercettare il traffico protetto tra server e utenti.

Google, Mozilla, Microsoft hanno subito invalidato i certificati di MCS Holdings, e alla fine sia CNNIC che l'azienda egiziana hanno ammesso di aver commesso un semplice errore umano. I cyber-criminali, in effetti, ne fanno molti meno, di errori.

Alfonso Maruccia
Notizie collegate
  • SicurezzaFREAK, vulnerabili anche le app mobileLa saga FREAK continua con l'avvistamento della vulnerabilitÓ sulle app per smartphone. Il rischio Ŕ la compromissione di comunicazioni di dati finanziari, biometrici o comunque sensibili
4 Commenti alla Notizia Rete cifrata, Rete bucata
Ordina