Sweet32 vanifica la sicurezza delle connessioni cifrate e delle VPN.
[ZEUS News - www.zeusnews.it - 29-08-2016]
Un nuovo attacco minaccia le connessioni Https: permette a chi lo conduce di decriptare i cookie di sessione e, stando ai ricercatori che l'hanno scoperto e battezzato Sweet32, coinvolge 600 tra i siti più visitati al mondo.
Fortunatamente, mettere in pratica questa nuova minaccia non è banale. Occorre monitorare il traffico tra server e utente e allo stesso tempo riuscire a installare sul computer dell'utente uno specifico JavaScript.
Questo script dovrà poi raccogliere dati per le successive 38 ore - tanto è il tempo necessario - per riuscire a decifrare il cookie: i ricercatori hanno calcolato che servono 785 Gbyte di dati per riuscirvi.
Un attacco simile, rivolto contro OpenVPN, richiede un po' meno tempo e dati per recuperare il token di identificazione: 18 ore e 705 Gbyte di dati.
Tutto questo tempo è necessario perché l'attacco si basa su un calcolo probabilistico noto come paradosso del compleanno.
Secondo questo paradosso, la probabilità che due persone di un gruppo compiano gli anni lo stesso giorno è già del 50% in un gruppo di appena 23 persone, del 70% con 30 persone e del 97% con 50 persone.
Il quantitativo di dati raccolto dallo script è quindi indispensabile per avere la probabilità statistica necessaria perché l'attacco funzioni e identifichi il cookie di autenticazione.
Nonostante le difficoltà di esecuzione, l'attacco funziona. Per evitare che a qualcuno salti in mente di sfruttarlo nel mondo reale, i ricercatori suggeriscono di abbandonare immediatamente i cifrari a blocchi da 64 bit.
Nella pratica, OpenVPN dovrebbe quindi abbandonare Blowfish e passare ad AES, che è immune da questo attacco, e TLS dovrebbe disabiltiare il supporto a Triple DES.
Non appena l'esistenza di Sweet32 è diventata pubblica, OpenVPN ha rilasciato una nuova versione che scoraggia l'uso dei cifrari a 64 bit. OpenSSL ha invece fatto sapere che Triple DES è disabilitato a partire dalla versione 1.1.0, da poco rilasciata.
In un certo senso, l'esistenza di Sweet32 è positiva: sta spingendo tutti gli sviluppatori di software che fanno uso di crittografia ad abbandonare gli standard più vecchi e meno sicuri per abbracciare quelli più recenti.
Come spiega Viktor Dukhovni, sviluppatore di OpenSSL, «dire addio a Triple DES è una questione di igiene».
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|