Transazioni sul web e comunicazioni criptate a rischio

Nuovo attacco contro le pagine Https.



[ZEUS News - www.zeusnews.it - 07-08-2016]

https heist attacco

Il 2016 decisamente non è un buon anno per le pagine Https: dopo la vulnerabilità in TLS rivelata a marzo una nuova minaccia interessa le pagine web che dovrebbero essere sicure.

Il bug è stato chiamato Heist, un acronimo che sta per HTTP Encrypted Information can be Stolen Through TCP Windows (Informazioni crittografate HTTP possono essere rubate tramite finestre TCP) e che, in inglese, significa anche rapina.

Heist è particolarmente pericoloso perché, a differenza di altri attacchi, non richiede di intercettare il traffico (come un attacco man-in-the-middle): per sfruttarlo è sufficiente inserire un JavaScript apparentemente innocuo in una pagina web, per esempio mascherandolo da banner pubblicitario.

Il codice in questione può essere utilizzato per richiedere pagine protetta dai protocolli SSL o TLS e ottenere le dimensioni precise dei dati crittografati che vengono trasmesse.

Questa informazione è utile non tanto a Heist, che a questo punto ha esaurito il suo compito, ma alle già note vulnerabilità BREACH (scoperta nel 2013) e CRIME: esse si possono usare per decriptare i dati crittografati manipolando i sistemi di compressione adoperati dai siti per velocizzare il caricamento delle pagine nei browser.

Tom Van Goethem, uno dei ricercatori che hanno scoperto la falla, spiega: «Heist rende più semplice eseguire un certo numero di attacchi. Prima, era necessario raggiungere la posizione di man-in-the-middle per sfruttare CRIME o BREACH. Adesso basta visitare un sito gestito da un malintenzionato per essere in pericolo».

È facile capire come in questo modo siano a rischio i dati personali, la cui trasmissione avviene generalmente su pagine Https cifrate per evitare che qualcuno ne entri in possesso.

Sondaggio
Un sito Internet richiede che la password sia pi complicata. Cosa fai per ricordarla?
La scrivo su un foglio di carta
Faccio di tutto per memorizzarla
La salvo sul browser e utilizzo il Completamento automatico
La salvo sullo smartphone
La salvo come nota sul computer
Impiego una utility specifica per l'immagazzinamento password

Mostra i risultati (2892 voti)
Leggi i commenti (12)

Non è tuttavia ancora il caso di farsi prendere dal panico. I ricercatori ricordano che, perché Heist funzioni, occorre che il codice JavaScript malevolo sia presente sul sito che l'utente visita.

Ciò significa che i modi per sfruttare questo attacco sono due: o si convince un utente a visitare un sito fasullo (come fanno molte campagne di phishing) oppure si viola un sito legittimo (per esempio quello di una banca, o anche semplicemente una casella e-mail).

heist attacco dimostrazione1

Questo secondo scenario è chiaramente il più fruttuoso, dal punto di vista di un criminale, ma occorre tempo prima di trovare una falla che permetta di inserirsi in un sito che dovrebbe già essere ben protetto in quanto tratta dati sensibili.

In ogni caso, qualora Heist prendesse piede, gli utenti possono fare poco per difendersi, a parte naturalmente cercare di fare attenzione alle trappole e alle truffe che arrivano via email o simili.

Per cercare di ridurre i rischi, Van Goethem consiglia di disabilitare la ricezione di cookie di terze parti. L'effetto collaterale negativo di questa pratica è che diversi servizi, così facendo, cessano di funzionare.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Falla DROWN, cosa c'è da sapere (niente panico)
11 milioni di siti HTTPS a rischio
LinkedIn, il bug SSL non è stato ancora corretto
Cifratura HTTPS compromessa in 30 secondi
Certificati SSL fasulli mettono a rischio la sicurezza in Rete

Commenti all'articolo (4)

Di nulla Cesco, servito anche a me per approfondire e capire di pi. :wink:
11-8-2016 11:59

Grazie della spiegazione Gladiator, io con l'inglese sono a zero...
10-8-2016 22:59

In base a quanto scritto nell'articolo di ZN e a quanto riportato nel documento scaricabile al seguente link direi che il bug insito nei protocolli SSL/TLS e nella gestione delle finestre TCP per cui totalmente indipendente dal browser utilizzato anche se il browser comunque uno degli elementi coinvolti nell'attacco. L'aspetto... Leggi tutto
10-8-2016 17:44

Non ho capito se il bug riconducibile ad un particolare browser/so oppure se chiunque a rischio, e se tale bug correggibile o se occorre conviverci :?:
9-8-2016 23:52

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Da dove scarichi di solito i file (app, film, libri, giochi)?
Scarico i file da fonti sempre diverse
Scarico file da siti di cui mi fido
Non scarico molti file e presto sempre attenzione al sito da cui li scarico
Scarico i file solo da negozi online e da app store di fiducia
Non scarico nulla

Mostra i risultati (1398 voti)
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
I disservizi di Facebook costano a Mark Zuckerberg 6 miliardi
Pesa di più una chiavetta USB piena di dati o una vuota?
Tutti gli Arretrati
Accadde oggi - 29 novembre


web metrics