Il software di sicurezza della rete è a rischio?

SicurezzaSoluzioni per la sicurezza

Il sistema di sicurezza per la protezione delle password in Internet è stato aggirato dai ricercatori di una delle migliori università svizzere

Un team di ricercatori del Federal Institute for Technology di Lausanne ha reso noto di essere riuscito a decifrare una password in meno di unora. «È la prima volta che notiamo un problema di sicurezza nel protocollo SSL in sé e non nel modo di utilizzarlo o implementarlo» ha detto il professor Serge Vaudenay, direttore del laboratorio di sicurezza e crittografia dellistituto, in unintervista rilasciata alla BBC. Comunque, secondo i ricercatori, la falla non colpisce le transazioni effettuate con le carte di credito, dato che banche e siti e-commerce utilizzano un diverso tipo di tecnologia SSL (Secure Sockets Layer un protocollo che consente di cifrare le comunicazioni fra un browser e un server Web per ragioni di riservatezza.). Fino ad oggi la tecnologia SSL è stata considerata assolutamente sicura. I siti web protetti da sistemi SSL sono riconoscibili per lindirizzo che comincia con https//. Nella maggior parte dei browser, compare in fondo alla finestra licona di un piccolo lucchetto e di una chiave per mostrare che si tratta di una connessione sicura. Questo sistema è largamente utilizzato dai webmail e dai siti e-commerce per proteggere le informazioni personali degli utenti e le transazioni. Il sistema SSL cripta una password o un numero di carta di credito utilizzando un codice segreto per frammentare linformazione in modo che, se qualcuno dovesse intercettarla, non sarebbe comunque in grado di decifrarla. La tecnologia SSL utilizza diversi di tipi di algoritmo per criptare le informazioni. Il tipo di protocollo SSL colpito dai ricercatori è uno di quelli che si usano principalmente per i webmail, non per i pagamenti bancari o con le carte di credito. «Abbiamo intercettato una connessione, labbiamo sostituita con una falsa e abbiamo osservato il comportamento del server» ha spiegato Vaudenay. Il team è riuscito a ottenere una piccola quantità di informazioni dalla comunicazione tra server e computer. «Ad ogni comunicazione siamo riusciti ad avere una parte di informazione sulla password e dopo 160 tentativi siamo riusciti a ricostruirla». Ma, ha sostenuto Vaudenay, la falla non rappresenta un serio problema di sicurezza dato che si basa su password inviate di frequente al server. «I programmi di posta elettronica inviano regolarmente le autenticazioni al server, come il nome e la password dellutente, senza richiederle allutente» ha spiegato. Invece, nella maggior parte delle transazioni per gli acquisti online la password viene digitata una volta sola. Gli esperti di sicurezza sostengono che le persone non dovrebbero preoccuparsi a dare il numero della loro carta di credito a siti che utilizzano il protocollo SSL. «Sarei sorpreso se si trattasse di una minaccia per gli acquisti in rete» ha detto un portavoce della RSA, società di consulenza per la sicurezza delle reti. I ricercatori svizzeri hanno passato le loro scoperte agli sviluppatori SSL, che hanno tappato la falla nelle ultime versioni del software.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore