24 Febbraio 2003

SSL bucato da ricercatori svizzeri della EPFL

Dalle stelle alle stalle. Questo il destino del SSL (Secure Sockets Layer) il protocollo di sicurezza per le transazioni su Internet più utilizzato. Secondo alcuni ricercatori della scuola politecnico federale …

Questi ricercatori sono riusciti a dimostrare che, in meno di un’ora, è possibile riconoscere la password utilizzata da un utente Internet per connettersi a un servizio online, come un servizio di home banking o commerciale.

“Siamo i primi ad aver scoperto questa debolezza del SSL”, ha dichiarato con orgoglio in un comunicato il direttore del Laboratorio di sicurezza e criptografia (Lasec) della EPFL.
È lui che ci ha lavorato sopra insieme a uno studente e a un responsabile della criptografia in una grande banca.

Fino ad ora, il protocollo SSL era reputato inviolabile. I ricercatori hanno adottato un attacco che entra in funzione quando l’algoritmo di cifratura utilizzato è di tipo CBC (cipher block chaining) un modo di cifratura come altri e supponendo che il pirata si trovi non lontano dal server oggetto dell’attacco.

Il programma messo a punto dai ricercatori della EPFL, permette di intercettare la password di una persona che usa un programma dotato di SSL. Successivamente, si sono connessi al server spacciandosi per l’utente originale.
Un modo che permetterebbe anche di leggere la posta elettronica o effettuare transazioni finanziarie.

“Evidentemente – ha spiegato il direttore – abbiamo trasmesso il risultato del nostro lavoro ai programmatori che aggiornano l’SSL”.
Lavoro immediatamente recepito visto che la nuova versione di OpenSSL (la 0.9.7a) integra la protezione contro l’attacco simulato dai ricercatori svizzeri.

Spesso gli utenti usano il programma SSL senza saperlo. Un server messo in sicurezza con SSL usa un indirizzo che inizia con “https”.
Questo consente di far comunicare i software dell’utilizzatore con quelli del server a cui ci si connette e di convenire tra di loro un modo di criptazione che assicuri riservatezza nelle comunicazioni.

L'autore

Davide Pellegrino

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Libri che potrebbero interessarti

Tutti i libri

CompTIA Security+

Guida aggiornata alla certificazione SY0-701

57,00^€

60,00€ -5%

di Mike Chapple, David Seidl

Il lato oscuro del software

Insegnamenti da Star Wars per jedi della sicurezza

32,75^€

46,99€ -30%

26,60^€

28,00€ -5%

18,99^€

di Adam Shostack

Hacking, fughe di dati e rivelazioni

L'arte di acquisire, analizzare e diffondere documenti

47,50^€

50,00€ -5%

di Micah Lee

Articoli che potrebbero interessarti

Tutti gli articoli

Parla come un hacker (per difenderti da ogni attacco)

(Pubblicato il 07 Febbraio 2024)
Se è software, è un’occasione di attacco Quali sono le basi dell’autenticazione Che cos’è la ripudiabilità Quali sono le caratteristiche di un attacco Denial of Service Quali sono i principali…

di Adam Shostack
Le minacce hacker basate su prevedibilità e casualità

(Pubblicato il 05 Febbraio 2024)
Minacce insospettabili e subdole Gli ingegneri amano la prevedibilità. Sarebbe difficile costruire una Morte Nera se a metà dell’allestimento della sovrastruttura la gravità entrasse in azione come un raggio traente.…

di Adam Shostack
“È ora di finirla con la rotazione delle password”: la sicurezza secondo Adam Shostack, autore de Il lato oscuro del software

(Pubblicato il 09 Febbraio 2024)
Apogeonline: Dobbiamo avere più paura delle minacce verso i nostri smartphone o delle minacce al cloud che custodiscono i dati dello smartphone? Adam Shostack: Bella domanda. Come consumatore, spesso è…

di Adam Shostack

3 ebook a un prezzo eccezionale! 🚣‍♀️

L'autore

Davide Pellegrino