Transazioni sul web e comunicazioni criptate a rischio

Nuovo attacco contro le pagine Https.



[ZEUS News - www.zeusnews.it - 07-08-2016]

https heist attacco

Il 2016 decisamente non è un buon anno per le pagine Https: dopo la vulnerabilità in TLS rivelata a marzo una nuova minaccia interessa le pagine web che dovrebbero essere sicure.

Il bug è stato chiamato Heist, un acronimo che sta per HTTP Encrypted Information can be Stolen Through TCP Windows (Informazioni crittografate HTTP possono essere rubate tramite finestre TCP) e che, in inglese, significa anche rapina.

Heist è particolarmente pericoloso perché, a differenza di altri attacchi, non richiede di intercettare il traffico (come un attacco man-in-the-middle): per sfruttarlo è sufficiente inserire un JavaScript apparentemente innocuo in una pagina web, per esempio mascherandolo da banner pubblicitario.

Il codice in questione può essere utilizzato per richiedere pagine protetta dai protocolli SSL o TLS e ottenere le dimensioni precise dei dati crittografati che vengono trasmesse.

Questa informazione è utile non tanto a Heist, che a questo punto ha esaurito il suo compito, ma alle già note vulnerabilità BREACH (scoperta nel 2013) e CRIME: esse si possono usare per decriptare i dati crittografati manipolando i sistemi di compressione adoperati dai siti per velocizzare il caricamento delle pagine nei browser.

Tom Van Goethem, uno dei ricercatori che hanno scoperto la falla, spiega: «Heist rende più semplice eseguire un certo numero di attacchi. Prima, era necessario raggiungere la posizione di man-in-the-middle per sfruttare CRIME o BREACH. Adesso basta visitare un sito gestito da un malintenzionato per essere in pericolo».

È facile capire come in questo modo siano a rischio i dati personali, la cui trasmissione avviene generalmente su pagine Https cifrate per evitare che qualcuno ne entri in possesso.

Sondaggio
Un sito Internet richiede che la password sia più complicata. Cosa fai per ricordarla?
La scrivo su un foglio di carta
Faccio di tutto per memorizzarla
La salvo sul browser e utilizzo il Completamento automatico
La salvo sullo smartphone
La salvo come nota sul computer
Impiego una utility specifica per l'immagazzinamento password

Mostra i risultati (2682 voti)
Leggi i commenti (12)

Non è tuttavia ancora il caso di farsi prendere dal panico. I ricercatori ricordano che, perché Heist funzioni, occorre che il codice JavaScript malevolo sia presente sul sito che l'utente visita.

Ciò significa che i modi per sfruttare questo attacco sono due: o si convince un utente a visitare un sito fasullo (come fanno molte campagne di phishing) oppure si viola un sito legittimo (per esempio quello di una banca, o anche semplicemente una casella e-mail).

heist attacco dimostrazione1

Questo secondo scenario è chiaramente il più fruttuoso, dal punto di vista di un criminale, ma occorre tempo prima di trovare una falla che permetta di inserirsi in un sito che dovrebbe già essere ben protetto in quanto tratta dati sensibili.

In ogni caso, qualora Heist prendesse piede, gli utenti possono fare poco per difendersi, a parte naturalmente cercare di fare attenzione alle trappole e alle truffe che arrivano via email o simili.

Per cercare di ridurre i rischi, Van Goethem consiglia di disabilitare la ricezione di cookie di terze parti. L'effetto collaterale negativo di questa pratica è che diversi servizi, così facendo, cessano di funzionare.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Falla DROWN, cosa c'è da sapere (niente panico)
11 milioni di siti HTTPS a rischio
LinkedIn, il bug SSL non è stato ancora corretto
Cifratura HTTPS compromessa in 30 secondi
Certificati SSL fasulli mettono a rischio la sicurezza in Rete

Commenti all'articolo (4)

Di nulla Cesco, è servito anche a me per approfondire e capire di più. :wink:
11-8-2016 11:59

Grazie della spiegazione Gladiator, io con l'inglese sono a zero...
10-8-2016 22:59

In base a quanto scritto nell'articolo di ZN e a quanto riportato nel documento scaricabile al seguente link direi che il bug è insito nei protocolli SSL/TLS e nella gestione delle finestre TCP per cui è totalmente indipendente dal browser utilizzato anche se il browser è comunque uno degli elementi coinvolti nell'attacco. L'aspetto... Leggi tutto
10-8-2016 17:44

Non ho capito se il bug è riconducibile ad un particolare browser/so oppure se chiunque è a rischio, e se tale bug è correggibile o se occorre conviverci :?:
9-8-2016 23:52

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Chi di questi 10 non ha meritato il premio Nobel per la Pace?
Elihu Root, segretario di Stato USA, vincitore nel 1912, indagato per la repressione degli indipendentisti filippini.
Aristide Briand, politico francese, vincitore nel 1926, nonostante molti sostengano che gli accordi da lui voluti abbiano portato la Germania a tentare la successiva espansione verso est.
Frank Kellogg, vincitore nel 1929: la sua idea per evitare le guerre fu sconfessata di lì a breve dalla politica tedesca.
Carl von Ossietzky, giornalista tedesco, vincitore nel 1935 per aver rivelato la politica tedesca di riarmo in violazione dei trattati. Meritava il premio, ma la tempistica fu pessima: venne deportato in un campo di concentramento.
Nessuno: nel 1948 il premio non venne assegnato. Sarebbe potuto andare a Mohandas Ghandi, ma era stato assassinato e il Comitato non permise che il premio fosse assegnato alla memoria.
Henry Kissinger e Le Duc Tho, vincitori nel 1973 per aver negoziato il ritiro delle truppe USA dal Vietnam. Il primo però approvò il bombardamento contro la Cambogia; il secondo rifiutò il premio.
Yasser Arafat, Shimon Peres e Yitzakh Rabin, vincitori nel 1994, sebbene gli accordi di Oslo abbiano avuto effetti molto brevi.
Kofi Annan e le Nazioni Unite, vincitori nel 2001, investigato nel 2004 per il coinvolgimento del figlio in un caso di pagamenti illegali nel programma Oil for Food.
Wangari Muta Maathai, vincitrice nel 2004, convinta che il virus HIV sia stato creato in laboratorio e sfuggito per errore.
Barack Obama, vincitore nel 2009, appena eletto presidente degli USA.

Mostra i risultati (1774 voti)
Novembre 2019
Bug in Firefox, truffatori già all'opera
Quattordicenne risolve il problema dei punti ciechi nelle auto
Ottobre 2019
Il grande database della cacca cerca volontari
Google, i domini .new diventano scorciatoie
Wind Tre, con l'anno nuovo aumentano le bollette
Omessa custodia del cellulare, sanzionata l'insegnante del post anti-Arma
Smartphone e batteria, con la modalità scura si risparmia davvero
Il Galaxy S10 si sblocca con qualsiasi impronta
Windows 7 a fine vita, Microsoft importuna coi pop-up
Linux, seria falla nel comando sudo
Il sistema operativo per sopravvivere all'Apocalisse
Pegasus, la nuova interfaccia di Windows 10
Dal papà di Android uno smartphone radicalmente diverso
Otto mesi di carcere per chi rivelò gli stipendi d'oro sindacali
Windows, l'aggiornamento impedisce di stampare
Tutti gli Arretrati


web metrics