Alla Black Hat Security Conference, che si è tenuta tra la fine di luglio e l'inizio di agosto a Las Vegas, tre ricercatori hanno dimostrato come si possono violare le comunicazioni via HTTPS in meno di 30 secondi.

Yoel Gluck, Neal Harris e Angelo Prado hanno mostrato la propria tecnica, denominata BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) che si applica alle comunicazioni compresse a livello di HTTP. L'articolo continua qui sotto.

Perché l'attacco abbia successo occorre intercettare il traffico crittografato tra la vittima designata e un server web e convincere la vittima a seguire un link pericoloso (per esempio inserendo un iframe in una pagina che sarà visitata).

Per approfondire:

Microsoft rimuove TLS 1.0 da Windows, applicazioni a rischio

Transazioni sul web e comunicazioni criptate a rischio

Nuova falla mette a rischio le connessioni HTTPS

Milioni di Android ancora vulnerabili a Heartbleed

Grazie a BREACH si riescono a ottenere i dati di login, gli ID di sessione e altre informazioni sensibili generalmente protette dalla crittografia SSL/TLS, e il tempo impiegato per tutto ciò è inferiore ai 30 secondi.

Questa tecnica funziona con tutte le versioni di SSL/TSL e non richiede la compressione a livello di TLS; pur trattandosi di un attacco mirato (occorre che il malintenzionato prenda di mira una vittima e si dedichi a quella) è evidente come il pericolo sia reale.

BREACH all'opera.

Spunti di approfondimento:

Chrome, opzioni avanzate

Firefox 23, più social e con JavaScript obbligatorio

Compromessi metà dei siti TOR

Un kit per difendere la propria privacy online