Il web è insicuro per natura, non c’è cloud computing certificato che tenga e persino le transazioni finanziarie basate sullo standard di cifratura XML ufficialmente adottato dal World Wide Web Consortium (W3C) sono a rischio. Proprio il succitato standard è stato bucherellato da due ricercatori tedeschi, autori di uno studio che mette in mostra la vulnerabilità strutturale di una tecnologia che a loro dire dovrebbe essere riscritta da cima a fondo.
Nel loro studio, i ricercatori della Ruhr-Universität Bochum hanno attaccato le comunicazioni server-to-server dei servizi web che hanno necessità di lavorare con transazioni finanziarie e contemporaneamente “mischiarle” a dati non cifrati (XML): un sistema di comunicazione ad esempio utile a comunicare l’esecuzione di ordini di acquisto senza rendere noti i dati della carta di credito al sito di e-commerce.
Juraj Somorovsky e Tibor Jager hanno scoperto che il sistema di cifratura adottato dal W3C è molto debole, fatto che ha permesso loro di decifrare i dati riservati raccogliendo informazioni sui messaggi di errore ricevuti dopo l’invio di testi cifrati modificati al server.
L’attacco funziona sia contro la cifratura XML del W3C che contro quella implementata da tutte le aziende contattate in occasione dello studio (IBM, Microsoft, e Red Hat Linux tra gli altri ), dicono i ricercatori. Purtroppo “non c’è una semplice patch per questo problema”, dicono gli esperti, ed è quindi consigliabile (al W3C e a chiunque altro) di “modificare lo standard quanto prima è possibile”.
Alfonso Maruccia