TAGS CLOUD
Incrementa dimensioniDecrementa dimensioni SICUREZZA
Una falla in SSL fa tremare Internet
Alcuni ricercatori impiegati presso la società PhoneFactor, specializzata nella realizzazione di sistemi di autenticazione per telefoni cellulari, hanno scoperto una grave vulnerabilità nascosta all'interno dei protocolli crittografici Secure Sockets Layer (SSL) e Transport Layer Security (TLS). La falla, secondo gli scopritori, è altamente pericolosa, in quanto potrebbe consentire ad un eventuale aggressore di iniettare informazioni a propria scelta, quindi anche codice maligno, all'interno di una connessione protetta. Il pericolo è ancora più grave se si pensa al fatto che SSL 3.0 e TLS 1.0 sono alla base di tanti altri protocolli molto diffusi su Internet, e ogni giorno permettono di proteggere milioni di transazioni online: pagamenti con carta di credito, home banking, accesso a database remoti e ogni operazione svolta su Internet che preveda lo scambio di dati sensibili. Scoperta lo scorso Agosto da Marsh Ray e Steve Dispensa, la vulnerabilità avrebbe dovuto essere rivelata pubblicamente solo il prossimo anno, in modo da dare il tempo ai produttori di correggere le proprie implementazioni di SSL/TLS. Purtoppo, nel frattempo, pochi giorni fa, un ricercatore di sicurezza indipendente ha scoperto la falla e ne ha rivelato l'esistenza su una mailing-list della Internet Engineering Task Force (IETF): fatto questo che ha costretto Ray e Dispensa a "scroprire le carte" e rivelare l'esistenza di un gruppo di aziende e organizzazioni da tempo impegnate nel tentativo di risolvere il problema. Prontamente, inoltre, i due esperti di sicurezza hanno comunicato che la vulnerabilità riguarda il meccanismo di autenticazione di SSL e può essere sfruttata da un aggressore per inserirsi all'interno di una comunicazione protetta (in pratica effettuare un attacco di tipo man-in-the-middle) e inserire nel flusso delle informazioni cifrate comandi a propria discrezione. Tutto questo singifica che un cracker potrebbe essere in grado di alterare i dati trasmessi, iniettare codice maligno e, fatto ancora più grave, ottenere il certificato digitale del client, assumendone così l'identità. In poche parole, la vulnerabilità potrebbe essere sfruttata per manipolare ed eventualmente dirottare una comunicazione SSL/TLS.

Ray e Dispensa, inoltre, hanno rincarato la dose affermando quanto segue: "Poiché si tratta di una vulnerabilità del protocollo, e non di un semplice difetto di implementazione, le conseguenze sono di vasta portata". E hanno aggiunto: "Tutte le librerie SSL dovranno essere patchate, e le nuove copie distribuite insieme a molte applicazioni client e server. Numerosi utenti, infine, saranno probabilmente costretti ad aggiornare tutti i software che usano SSL".

Affermazioni queste, che vanno in controtendenza con quanto dischiarato dal noto hacker Moxie Marlinspike, che all'inizio di quest'anno aveva dimostrato alcune gravi debolezze nel protocollo SSL. Marlinspike ha spiegato che il bug appena reso noto riguarda una specifica forma di autenticazione SSL, chiamata client certificate authentication, poco utilizzata nelle comuni transazioni online. Infine, ha dichiarato quanto segue: "Per quanto ne so, la maggior parte delle persone che utilizzano SSL per collegarsi ad una webmail o al proprio conto bancario non sono interessati dal problema". Ma Ray e Dispensa smentiscono Marlinspike sostenendo che la vulnerabilità non è ristretta alla sola client certificate authentication e per sostenere questa tesi hanno anche pubblicato un documento PDF dove analizzano la falla e i possibili scenari d'impiego.

Per smorzare la tensione e tranquillizzare gli utenti è intervenuta addirittura VeriSign che, tramite il suo vice presidente al marketing Tim Callan, ha fatto sapere che il problema non rappresenta una grande minaccia per i navigatori: "Sebbene la vulnerabilità possa essere sfruttata per aggiungere codice maligno all'interno di una connessione SSL, questa non può essere in alcun modo utilizzata per decifrare la comunicazione e estrarre dati sensibili" ha dichiarato Callan. Poi ha aggiunto: "Questo non significa, comunque, che per i grandi siti web e numerose corporation la vulnerabilità non sia molto pericolosa e urgente". PhoneFactor ha anche reso noto che il gruppo di aziende e organizzazioni che sta affrontando l'emergenza SSL, tra cui Microsoft, Intel, Nokia, IBM, Cisco, Open SSL, Apache, NSS, Red Hat e IETF, ha raggiunto un accordo sulle strategie da seguire per risolvere il problema e stabilito le linee guida per ridimensionare immediatamente i pericoli derivanti dallo sfruttamento della falla. IETF ha anche aperto un thread dove si sta discutendo la bozza di una correzione al protocollo SSL/TLS.


Tag:
Condividi                                  
Lascia un commento