• In pericolo la sicurezza del protocollo SSL/TLS

    https.jpg

    In base a quanto pubblicato da Marsh Ray e Steve Dispensa nel loro Renegotiating TLS, la sicurezza del protocollo SSL/TLS è a rischio.

    Sfruttando le opportune vulnerabilità si potrebbe riuscire ad inserire informazioni all’interno di connessioni sicure. Tutto questo ha gravi ripercussioni sul traffico Web e sui protocolli che si affidano a TLS per la sicurezza: HTTPS e IMAP in primis.

    Stando a quanto descritto nel paper sarebbe possibile manipolare il contenuto HTML inviato dai siti Web durante la fase di trasferimento dati così da iniettare codice malevole.

    Il problema risiede in un difetto di progettazione del protocollo TLS stesso e non tanto in una sua specifica implementazione. La falla è insita nella fase di rinegoziazione dei parametri per una connessione TLS esistente. È il caso ad esempio di un cliente che tenta di accedere ad un area sicura di un Web server che richiede che il client richiedente invii un certificato per la validazione.

    Il cosiddetto “authentication gap” evidenzia una perdita di continuità nell’autenticazione tra server e client durante la sequenza di handshake che viene scambiata tra i due.

    L’attaccante ha la possibilità di intercettare e modificare lo stream dati in corso, consentendo ad esempio attacchi MITM reali ai danni del protocollo HTTPS.

    Il problema interessa le ultime versioni di Microsoft IIS, Apache e OpenSSL.

    Ben Laurie ha sviluppato una patch per quest’ultimo che non risolve il problema ma “banna” semplicemente tutti i tentativi di rinegoziazione.

    Si è dunque ora in attesa di una soluzione a lungo termine e più sicura che sembra possa venire dai gruppi di lavoro dell’IETF.

    Se vuoi aggiornamenti su In pericolo la sicurezza del protocollo SSL/TLS inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenta

    Your email address will not be published. Required fields are marked *