Il responsabile della sicurezza dice che un nuovo attacco SSL può colpire molti siti

Un consulente di sicurezza informatica di Seattle afferma di aver sviluppato un nuovo modo di sfruttare un bug divulgato di recente nel protocollo SSL, utilizzato per proteggere le comunicazioni su Internet. L'attacco, sebbene difficile da eseguire, potrebbe dare agli attaccanti un attacco di phishing molto potente.

Frank Heidt, CEO di Leviathan Security Group, afferma che il suo codice di prova generico potrebbe essere usato per attaccare una varietà di siti Web. Mentre l'attacco è estremamente difficile da attuare - l'hacker dovrebbe prima sferrare un attacco man-in-the-middle, eseguendo un codice che compromette la rete della vittima - potrebbe avere conseguenze devastanti.

L'attacco sfrutta il bug di Gap di autenticazione SSL (Secure Sockets Layer), reso noto il 5 novembre. Uno degli scopritori del bug SSL, Marsh Ray di PhoneFactor, afferma di aver visto una dimostrazione dell'attacco di Heidt, ed è convinto che potrebbe funzionare. "L'ha mostrato a me ed è il vero affare", ha detto Ray.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Il difetto di autenticazione SSL fornisce all'aggressore un modo per cambiare i dati inviati al server SSL, ma non c'è ancora modo di leggere le informazioni che ritornano. Heidt invia i dati che fanno sì che il server SSL restituisca un messaggio di reindirizzamento che quindi invia il browser Web a un'altra pagina. Quindi usa quel messaggio di reindirizzamento per spostare la vittima a una connessione non sicura in cui le pagine Web possono essere riscritte dal computer di Heidt prima che vengano inviate alla vittima.

"Frank ha mostrato un modo per sfruttare questo attacco di iniezione di testo in chiaro un compromesso completo della connessione tra il browser e il sito sicuro ", ha detto Ray.

Un consorzio di aziende Internet ha lavorato per risolvere il problema da quando gli sviluppatori di PhoneFactor l'hanno scoperto per la prima volta diversi mesi fa. Il loro lavoro acquisito nuova urgenza quando il bug è stato inavvertitamente divulgato su un elenco di discussione. Gli esperti di sicurezza hanno discusso della gravità di questo ultimo difetto SSL da quando è diventato di dominio pubblico.

La scorsa settimana, il ricercatore IBM Anil Kurmus ha mostrato come l'errore poteva essere utilizzato per ingannare i browser nell'invio di messaggi Twitter contenenti password utente.

Questo ultimo attacco mostra che il difetto potrebbe essere usato per rubare ogni tipo di informazione sensibile da siti Web sicuri, ha detto Heidt.

Per essere vulnerabili, i siti devono fare qualcosa chiamato rinegoziazione del client sotto SSL e anche avere qualche elemento sul loro pagine Web sicure che potrebbero generare un particolare messaggio di reindirizzamento 302.

Molti siti Web di alto profilo bancario ed e-commerce non restituiranno questo messaggio di reindirizzamento 302 in un modo che può essere sfruttato, ma un "numero enorme" di siti potrebbe Essere attaccato, ha detto Heidt.

Con così tanti siti Web a rischio per il difetto, Heidt dice che non intende rilasciare il suo codice immediatamente.

Dal punto di vista della vittima, l'unico cambiamento evidente durante un attacco è che il browser no lo nger sembra collegato a un sito SSL. L'attacco è simile all'attacco con la striscia SSL dimostrato da Moxie Marlinspike [cq] in una conferenza sulla sicurezza all'inizio di quest'anno.

Leviathan Security Group ha creato uno strumento che i webmaster possono utilizzare per vedere se i loro siti sono vulnerabili a uno spazio di autenticazione SSL attacco.

Poiché SSL e il suo standard di sostituzione TLS sono utilizzati in una vasta gamma di tecnologie Internet, il bug ha implicazioni di vasta portata.

Thierry Zoller, un consulente di sicurezza con G-Sec, afferma che in teoria, il difetto potrebbe essere usato per attaccare i server di posta. "Un utente malintenzionato può potenzialmente attaccare le mail che inviano tramite connessioni SMTP [Simple Mail Transfer Protocol] protette, anche se sono autenticate da un certificato privato", ha detto in un'intervista con un messaggio istantaneo.

Zoller, che non ha visto il codice di Leviathan, ha detto che se l'attacco funziona come pubblicizzato, sarà solo questione di giorni prima che qualcun altro riesca a capire come farlo.