Addio allo sniffing. Due ricercatori affermano di aver realizzato uno strumento in grado di connettersi “fisicamente” alla rete oggetto d’attacco. E’ capace di intercettare in tempo reale e decifrare il contenuto dei cookie generati attraverso una connessione dati HTTPS.
Due noti ricercatori nel campo della sicurezza informatica – Juliano Rizzo
e Thai Duong – hanno anticipato che in occasione della conferenza "Ekoparty"
(si terrà venerdì prossimo a Buenos Aires), presenteranno uno
strumento software di loro progettazione, battezzato "BEAST" (Browser
Exploit Against SSL/TLS).
Il programma consente ad un aggressore in grado di connettersi "fisicamente"
alla rete oggetto d’attacco, di intercettare in tempo reale e decifrare il contenuto
dei cookie generati attraverso una connessione dati HTTPS.
Non si parla più, quindi, di una semplice attività di "sniffing"
dei pacchetti dati veicolati "in chiaro" ma ci si concentra, questa
volta, sui dati che sono trasmessi in forma cifrata utilizzando il protocollo
SSL/TLS.
Secondo quanto anticipato da Rizzo e Duong, l’attaccante dovrebbe fare in modo
che il browser invii alcuni dati verso il server remoto attraverso il canale
cifrato. Analizzando i dati ricevuti, il malintenzionato può stabilire
il livello di entropia impiegato e ridurre in modo significativo il tempo necessario
per decifrare un messaggio. I due esperti sostengono di essere riusciti a decrittografare
un cookie di PayPal nel giro di appena dieci minuti.
Negli attacchi rivolti nei confronti degli schemi di cifratura, le tipologie
di aggressione che possono essere messe in campo sono molteplici: l’obiettivo
è comunque quello di risalire al “plaintext” (il messaggio
"in chiaro") a partire dal “ciphertext” (il testo cifrato)
o comunque stabilire la chiave crittografica impiegata.
Ad essere potenzialmente vulnerabili sarebbero, secondo Rizzo-Duong, tutte
le comunicazioni effettuate attraverso il protocollo TLS 1.0 mentre nel caso
delle versioni 1.1 e 1.2 l’attacco non andrebbe in porto. Va sottolineato, però,
come le più recenti versioni del protocollo TLS non siano supportate,
all’atto pratico, quasi da nessun sito web.
Trevor Perrin, un altro ricercatore indipendente, ha commentato il lavoro di
Rizzo e Duong spiegando che "qualora dovesse essere confermato che l’attacco
riuscisse ad avere successo in modo così rapido come descritto, sarebbe
una minaccia piuttosto grave". E continua: "BEAST è una sorta
di trojan horse che agisce sul protocollo crittografico.
Un malintenzionato deve semplicemente far eseguire del codice JavaScript al
browser dell’utente-vittima. Tale codice s’interfaccerà con un network
sniffer per carpire le informazioni in transito sulla connessione HTTPS".