Dalle stelle alle stalle. Questo il destino del SSL (Secure Sockets Layer) il protocollo di sicurezza per le transazioni su Internet più utilizzato. Secondo alcuni ricercatori della scuola politecnico federale di Losanna (EPFL), vale poco.
Questi ricercatori sono riusciti a dimostrare che, in meno di un’ora, è possibile riconoscere la password utilizzata da un utente Internet per connettersi a un servizio online, come un servizio di home banking o commerciale.
“Siamo i primi ad aver scoperto questa debolezza del SSL”, ha dichiarato con orgoglio in un comunicato il direttore del Laboratorio di sicurezza e criptografia (Lasec) della EPFL.
È lui che ci ha lavorato sopra insieme a uno studente e a un responsabile della criptografia in una grande banca.
Fino ad ora, il protocollo SSL era reputato inviolabile. I ricercatori hanno adottato un attacco che entra in funzione quando l’algoritmo di cifratura utilizzato è di tipo CBC (cipher block chaining) un modo di cifratura come altri e supponendo che il pirata si trovi non lontano dal server oggetto dell’attacco.
Il programma messo a punto dai ricercatori della EPFL, permette di intercettare la password di una persona che usa un programma dotato di SSL. Successivamente, si sono connessi al server spacciandosi per l’utente originale.
Un modo che permetterebbe anche di leggere la posta elettronica o effettuare transazioni finanziarie.
“Evidentemente – ha spiegato il direttore – abbiamo trasmesso il risultato del nostro lavoro ai programmatori che aggiornano l’SSL”.
Lavoro immediatamente recepito visto che la nuova versione di OpenSSL (la 0.9.7a) integra la protezione contro l’attacco simulato dai ricercatori svizzeri.
Spesso gli utenti usano il programma SSL senza saperlo. Un server messo in sicurezza con SSL usa un indirizzo che inizia con “https”.
Questo consente di far comunicare i software dell’utilizzatore con quelli del server a cui ci si connette e di convenire tra di loro un modo di criptazione che assicuri riservatezza nelle comunicazioni.