La Internet Engineering Task Force (IETF) ha approvato la draft finale di una modifica al Transport Layer Security (TLS), un protocollo utilizzato per proteggere la maggior parte delle transazioni online, che dovrebbe risolvere un serio problema di sicurezza . Tale problema è emerso molti mesi fa, ma è stato reso pubblico soltanto lo scorso novembre.
A rendere la debolezza di pubblico dominio sono stati i ricercatori Marsh Ray e Steve Dispensa della società Phone Factor, i quali hanno spiegato che un aggressore potrebbe riuscire a rinegoziare una comunicazione TLS/SSL e inoculare nel flusso di dati dei comandi a sua scelta.
Sebbene alcuni esperti sostengano che gli scenari di attacco siano assai ristretti, uno studente turco ha recentemente dimostrato come questa falla possa essere utilizzata per sottrarre le password di Twitter . La risposta del celebre social network è stata disattivare la rinegoziazione delle connessioni TLS.
La patch appena approvata da IETF impedisce che un attacco man in the middle possa consentire ad un aggressore di rinegoziare la connessione cifrata e dirottarne il flusso dei dati. La storica task force ha però ammesso che la correzione potrebbe richiedere molti mesi perché venga applicata a tutte le implementazioni di TLS in circolazione e si propaghi all’intera Internet. La proposta IETF ora passerà al vaglio dell’ente che si occupa della gestione dello standard per la ratifica finale: i principali produttori di soluzioni che integrano il protocollo hanno comunque già iniziato a includere le specifiche contenute nel draft finale nel proprio codice.
Alessandro Del Rosso