Lo standard di comunicazione cifrata SSL è un problema anche quando non si fa affidamento a vulnerabilità ed exploit: a sostenerlo il gruppo tedesco “The Hacker’s Choice” (THC), che ha rilasciato un tool capace di portare un attacco DoS (denial of service) contro un server SSL usando una quantità modesta di capacità computazionale e banda dati per la connessione.
Il tool, THC-SSL-DOS, si limita a sfruttare un funzionalità del protocollo SSL nota come “SSL renegotiation”, normalmente utilizzata per rinegoziare lo scambio di pacchetti di dati contenenti la chiave crittografica su una connessione protetta da SSL.
Si tratta di una funzionalità usata di rado, spiegano quelli di THC, e pur tuttavia ben pochi amministratori di sistema si prendono la briga di disabilitarla sui server sotto la loro responsabilità. Con la rinegoziazione SSL abilitata, il tool DoS teutonico sarebbe in grado di ridurre in ginocchio il server bersaglio facendo uso di un banalissimo laptop e una connessione DSL standard.
Anche senza la funzionalità di SSL renegotiation, sostiene THC, THC-SSL-DOS potrebbe abbattere un’intera “server farm” usando solo 20 laptop “ordinari” e 120 Kilobit di banda al secondo. La distribuzione del tool per DoS fatti in casa, dice il collettivo di hacker tedeschi, servirà augurabilmente a esporre i problemi infrastrutturali del protocollo SSL e spingerà l’industria tecnologica a metterci finalmente una pezza.
Alfonso Maruccia