C’è aria di grossa crisi nel campo della sicurezza applicata alle connessioni Internet su web: non bastasse lo scandalo DigiNotar e tutto quel che ne consegue, un nuovo, duro colpo alla navigazione a mezzo protocollo HTTPS arriva dal lavoro di ricerca di Juliano Rizzo e Thai Duong, apparentemente creatori di un attacco in grado di superare in scioltezza la cifratura messa in atto da certificati SSL e TLS.
Rizzo e Duong hanno battezzato il loro attacco BEAST, acronimo che sta per “Browser Exploit Against SSL/TLS”. La presentazione del lavoro avverrà il prossimo venerdì a una conferenza sulla sicurezza che si terrà a Buenos Aires, ma già da ora i due ricercatori parlano di un attacco difficile da bloccare se non con un massiccio sforzo di riconversione da parte di una fetta significativa di servizi web.
BEAST sfrutta in realtà una vulnerabilità già nota da anni, che viene in effetti resa innocua dalle versioni di TLS successive alla 1.0 (1.1 o 1.2): il problema stà nel fatto che ancora oggi i siti web usano il protocollo TLS originario (1.0 appunto) e sono quindi a rischio di compromissione.
Il codice creato da Rizzo e Duong agisce come un classico attacco “man-in-the-middle” ed è composto da due diversi componenti: la prima parte di BEAST è il codice che va caricato all’interno del browser web della vittima, mentre la seconda si incarica di catturare e decrittare il i cookie di sessione HTTPS. In media, stimano i due ricercatori, occorrono cinque minuti per leggere in chiaro le informazioni contenute nei cookie cifrati.
Alfonso Maruccia