• Furti di password Twitter sfruttando il bug di SSL/TLS

    twitter_hack.jpg

    A quanto pare qualcuno ha sfruttato con successo il bug di progettazione del protocollo SSL/TLS di cui abbiamo parlato qualche giorno fa.

    Stando a quanto riportato sul proprio blog, lo studente Anil Kurmus dichiara di essere riuscito a rubare la password di un account Twitter mediante un attacco man-in-the-middle. Quello che sembrava una vulnerabilità più teorica che pratica, ha trovato a quanto pare una reale “applicazione”.

    Kurmus è riuscito a sfruttare il bug, iniettando del codice che tramite le Twitter API effettuasse il dump del contenuto della richiesta http e lo pubblicasse come Tweet una volta decrittato.

    Il giovane studente turco, che ha appena concluso la sua tesi specialistica all’Eurecom Institute di Zurigo, è convinto che l’aver reso pubblico questo bug e il come sfruttarlo, sono la scelta migliore.

    È importante che la gente sia a conoscenza del fatto che qualcun altro potrebbe aver già da tempo adottato soluzioni analoghe per rubare credenziali utente.

    Twitter ha costituito la piattaforma ideale per il testing di questa vulnerabilità per svariate ragioni:

    • ogni richiesta inviata alla piattaforma di microblogging include username e password dell’account utente;
    • le API consentono di pubblicare il contenuto dello stream dati intercettato sotto forma di messaggio (tweet) che poi può essere tranquillamente recuperato;
    • molti utenti Twitter inviano e ricevono messaggi utilizzando applicazioni di terze parti che ignorano pagine di errore come quella risultante da un attacco simile.

    Come riportato sullo stesso blog, Twitter ha introdotto un fix a questo problema già a metà settimana scorsa.

    Relativamente al bug SSL/TLS, il team di sviluppo di OpenSSL ha “risolto” eliminando la possibilità di “TLS renegotiation” nella versione 0.9.8l del software.

    Tuttavia questa scelta potrebbe portare al malfunzionamento di alcuni servizi.

    Altri vendor, tra cui Cisco e Juniper hanno confermato che i loro prodotti sono al momento vulnerabili a questo tipo di problema.

    Tags:

    Se vuoi aggiornamenti su Furti di password Twitter sfruttando il bug di SSL/TLS inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Piero dice:

      >> è convinto che l’aver reso pubblico questo bug e il come sfruttarlo, sono la scelta migliore.

      Se è convinto lui.
      Forse per una tale vulnerabilità, la scelta migliore dovrebbe essere discussa. Un ragazzino qualunqe non può stimare il trade-off tempirisorsecosti che si necessita per mitigare quanto sopra.

    2. Personalmente credo il fatto di aver reso pubblico il bug non sia sbagliato come principio.
      Certo prima avrebbe dovuto avvisare gli amministratori di Twitter del riuscito attacco nei confronti della piattaforma.
      Non mi pare però l’abbia fatto, almeno questo è quello che mi parso di capire dalle notizie e dal suo blog.
      Si fa unicamente riferimento in un commento al fatto che l’attacco non funzioni più: “UPDATE: it appears twitter has patched its webserver and the TLS renegotiation vulnerability does not work anymore. Until yesterday (10/11), it was working fine. I guess their admins are doing a good job!”

      Volendo si può vedere questa situazione come un’altro spunto per l’eterna discussione sul tema della “sicurezza by oscurity”.

    3. Piero dice:

      Spero di sbagliarmi ma la criticità della vulnerabilità sembra andare ben oltre Twitter.
      Questa sembra essere, corregetemi se sbaglio, una ‘vulnerabilità di protocollo’ che prescinde dalla piattaforma, dall’ambiente, dalla tecnologia e dal vendor utilizzato.

    4. No non ti sbagli.
      In effetti il problema è serio proprio perché si tratta di una vulnerabilità insita nel protocollo, a livello di progettazione.
      Ne sono una testimonianza il fatto che gli stessi sviluppatori di OpenSSL abbiano deciso di eliminare la “SSL renegotiation” nell’update rilasciato.
      Questo probabilmente in attesa che qualcosa si muova a livelli più alti, ovvero IETF.

      L’azione di Anil secondo me è stata abbastanza importante perché ha smosso un po’ le acque, facendo ricredere quelli che si erano lanciati nell’asserire che si potesse trattare di un problema più teorico che pratico.
      Vedi questo articolo: http://blogs.iss.net/archive/stealingcookieswiths.html
      In particolare qui Tom Cross rivaluta la sua precedente posizione sul problema alla luce di quanto mostrato da Kurmus.
      In un suo post del 6 novembre infatti circa il problema della renegotiation aveva titolato così “You can relax about the SSL break, mostly”.

    Commenta

    Your email address will not be published. Required fields are marked *