Transazioni sul web e comunicazioni criptate a rischio

Nuovo attacco contro le pagine Https.



[ZEUS News - www.zeusnews.it - 07-08-2016]

https heist attacco

Il 2016 decisamente non è un buon anno per le pagine Https: dopo la vulnerabilità in TLS rivelata a marzo una nuova minaccia interessa le pagine web che dovrebbero essere sicure.

Il bug è stato chiamato Heist, un acronimo che sta per HTTP Encrypted Information can be Stolen Through TCP Windows (Informazioni crittografate HTTP possono essere rubate tramite finestre TCP) e che, in inglese, significa anche rapina.

Heist è particolarmente pericoloso perché, a differenza di altri attacchi, non richiede di intercettare il traffico (come un attacco man-in-the-middle): per sfruttarlo è sufficiente inserire un JavaScript apparentemente innocuo in una pagina web, per esempio mascherandolo da banner pubblicitario.

Il codice in questione può essere utilizzato per richiedere pagine protetta dai protocolli SSL o TLS e ottenere le dimensioni precise dei dati crittografati che vengono trasmesse.

Questa informazione è utile non tanto a Heist, che a questo punto ha esaurito il suo compito, ma alle già note vulnerabilità BREACH (scoperta nel 2013) e CRIME: esse si possono usare per decriptare i dati crittografati manipolando i sistemi di compressione adoperati dai siti per velocizzare il caricamento delle pagine nei browser.

Tom Van Goethem, uno dei ricercatori che hanno scoperto la falla, spiega: «Heist rende più semplice eseguire un certo numero di attacchi. Prima, era necessario raggiungere la posizione di man-in-the-middle per sfruttare CRIME o BREACH. Adesso basta visitare un sito gestito da un malintenzionato per essere in pericolo».

È facile capire come in questo modo siano a rischio i dati personali, la cui trasmissione avviene generalmente su pagine Https cifrate per evitare che qualcuno ne entri in possesso.

Sondaggio
Un sito Internet richiede che la password sia pi complicata. Cosa fai per ricordarla?
La scrivo su un foglio di carta
Faccio di tutto per memorizzarla
La salvo sul browser e utilizzo il Completamento automatico
La salvo sullo smartphone
La salvo come nota sul computer
Impiego una utility specifica per l'immagazzinamento password

Mostra i risultati (2942 voti)
Leggi i commenti (12)

Non è tuttavia ancora il caso di farsi prendere dal panico. I ricercatori ricordano che, perché Heist funzioni, occorre che il codice JavaScript malevolo sia presente sul sito che l'utente visita.

Ciò significa che i modi per sfruttare questo attacco sono due: o si convince un utente a visitare un sito fasullo (come fanno molte campagne di phishing) oppure si viola un sito legittimo (per esempio quello di una banca, o anche semplicemente una casella e-mail).

heist attacco dimostrazione1

Questo secondo scenario è chiaramente il più fruttuoso, dal punto di vista di un criminale, ma occorre tempo prima di trovare una falla che permetta di inserirsi in un sito che dovrebbe già essere ben protetto in quanto tratta dati sensibili.

In ogni caso, qualora Heist prendesse piede, gli utenti possono fare poco per difendersi, a parte naturalmente cercare di fare attenzione alle trappole e alle truffe che arrivano via email o simili.

Per cercare di ridurre i rischi, Van Goethem consiglia di disabilitare la ricezione di cookie di terze parti. L'effetto collaterale negativo di questa pratica è che diversi servizi, così facendo, cessano di funzionare.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (4)

Di nulla Cesco, servito anche a me per approfondire e capire di pi. :wink:
11-8-2016 11:59

Grazie della spiegazione Gladiator, io con l'inglese sono a zero...
10-8-2016 22:59

In base a quanto scritto nell'articolo di ZN e a quanto riportato nel documento scaricabile al seguente link direi che il bug insito nei protocolli SSL/TLS e nella gestione delle finestre TCP per cui totalmente indipendente dal browser utilizzato anche se il browser comunque uno degli elementi coinvolti nell'attacco. L'aspetto... Leggi tutto
10-8-2016 17:44

Non ho capito se il bug riconducibile ad un particolare browser/so oppure se chiunque a rischio, e se tale bug correggibile o se occorre conviverci :?:
9-8-2016 23:52

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come passi maggiormente il tuo tempo online?
Sui social network
Leggendo e scrivendo email
Guardando filmati
Cercando e leggendo informazioni
Giocando online
Leggendo i blog
Sui forum
Ascoltando musica e radio online
Leggendo quotidiani e riviste
Altro (specificare nei commenti)

Mostra i risultati (2070 voti)
Settembre 2022
La “tanica di benzina” per le auto elettriche
La strana storia dell'utente HME2 di Arpanet
LibreOffice diventa a pagamento
2022, fuga dall'open source
Dati a spasso nel cloud
Di chi sono i tuoi dati quando muori?
Smartphone, l'UE vuole pezzi di ricambio disponibili per almeno 5 anni
Ex designer di Microsoft demolisce il menu Start di Windows 11
Auto Hyundai “hackerata”
Agosto 2022
Genitori indagati dopo aver mandato foto dei figli ai medici
DuckDuckGo, la protezione delle email è per tutti
Il computer portatile economico che fa a meno del monitor
Microsoft avvisa: attenzione all'aggiornamento KB501270
WhatsApp, arriva il blocco degli screenshot
Le chiavi dell'auto? Al sicuro nel microonde
Tutti gli Arretrati
Accadde oggi - 29 settembre


web metrics