Scoperta e sanata una falla nel protocollo SSL

NetworkProvider e servizi Internet

Un laboratorio svizzero ha identificato un nuovo attacco di tipo side-channel

Alcuni ricercatori hanno scoperto una nuova falla di sicurezza nel protocollo Secure Sockets Layer (SSL), uno degli standard di crittazione più utilizzato. I ricercatori del Security and Cryptography Laboratory dello Swiss Federal Institute of Technology di Losanna, hanno scoperto che le password degli account delle email inviate via SSL sono vulnerabili a una forma di attacco side-channel. A differenza dei più comuni attacchi al codice che comportano il confronto fra il messaggio prima e dopo la crittazione e il conseguente tentativo di recuperare la chiave di crittazione, gli attacchi di tipo side-channel cercano altri tipi di informazione per infrangere il codice, come il tempo impiegato in un operazione o i cambiamenti nel consumo di energia. Nel caso specifico, i ricercatori hanno cercato di decrittare i dati SSL e hanno monitorato attentamente il tempo che ci vuole a ottenere un messaggio di errore. Sono così riusciti a restringere la ricerca a specifiche sezioni del messaggio e a scoprirne i contenuti. Le differenze nei tempi di risposta sono minime – si tratta appena di centesimi di secondo – e il metodo richiede numerose prove in laboratorio sulle connessioni di rete standard per garantire un monitoraggio efficace. Uno studente che seguiva un progetto per un seminario al suddetto laboratorio, ha scoperto che monitorando lattività di Microsoft Outlook era in grado di indovinare le password degli account email, ma solo perché Outlook rinvia ogni cinque minuti i dati di autenticazione contenuti in un file del programma utilizzando il protocollo SSL. Ma, secondo gli esperti, se da una parte il difetto è sfruttabile, daltra parte sarebbe difficile farne uso nella vita reale. Lultima versione di SSL ha risolto questo problema ed è disponibile per linstallazione. È incredibilmente inverosimile che questa vulnerabilità abbia effetto sui secure web server ha spiegato Mark Cox, membro fondatore di OpenSSL, che ha progettato il protocollo SSL. Lutente medio del web non corre rischi, ha aggiunto. Gli attacchi tipo side-channel portano a un ripensamento radicale dei modi in cui compiliamo il software di crittazione. Quando i metodi diventano obsoleti, il nostro compito è renderli più resistenti.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore