Gli esperti di Fox-IT hanno sviluppato gli strumenti utili a identificare e monitorare gli attacchi in stile QUANTUMINSERT , uno dei tanti meccanismi di cyber-warfare a disposizione della National Security Agency (NSA) americana divenuti di pubblico dominio grazie alle rivelazioni dei documenti di Edward Snowden.
QUANTUMINSERT (QI) sfrutta le debolezze intrinseche del protocollo di comunicazione TCP per approntare un sistema di controllo del traffico di rete veicolato su canali HTTP, spiegano i ricercatori, e proprio le suddette debolezze di TCP espongono i tool di NSA all’identificazione da parte di soggetti terzi.
Con QUANTUMINSERT gli spioni di NSA possono eseguire attacchi man-in-the-middle impersonando un servizio di rete e anticipando i pacchetti di dati legittimi provenienti dai server contattati dall’utente, e secondo Fox-IT chiunque sia capace di monitorare un network può inviare pacchetti di dati in stile QUANTUMINSERT.
In pratica questo genere di attacchi è più facile da portare a segno da parte delle agenzie statali e dalle autorità governative, dicono i ricercatori , mentre per identificare gli attori malevoli occorre scansionare le comunicazioni di rete alla ricerca di pacchetti dati duplicati e altre anomalie nei flussi TCP.
Gli attacchi QI perdono di efficacia nel caso si faccia uso di comunicazioni HTTPS e meccanismi HSTS, spiegano da Fox-IT, e altrettanto problematico risulta lo spoofing del traffico su reti CDN (Content-Delivery Network). Anche gli strumenti testé pubblicati per l’identificazione degli attacchi QI, avvertono i ricercatori, possono essere messi fuori gioco senza problemi.
Alfonso Maruccia
Ti potrebbe interessare
27 apr 2015