Flaw SSL potrebbe essere stato usato per hackerare Twitter

Un difetto del protocollo utilizzato per proteggere le comunicazioni su Internet avrebbe potuto essere utilizzato per hackerare account Twitter, secondo un ricercatore di sicurezza IBM.

La scorsa settimana Anil Kurmus ha dimostrato come un difetto nel protocollo SSL (Secure Sockets Layer) potrebbe essere usato essenzialmente per ingannare le vittime nell'invio di messaggi Twitter che contenevano le loro informazioni sulla password. Affinché la vulnerabilità venga sfruttata, un hacker dovrebbe prima trovare un modo per entrare nella rete della vittima, lanciando quello che è noto come un attacco man-in-the-middle, quindi sarebbe difficile influenzare un gran numero di utenti di Twitter con questa tecnica. Il problema è stato presto risolto da Twitter, ma gli esperti di sicurezza si sono chiesti quanti siti Web potrebbero essere affetti da un problema simile.

Un consorzio di aziende Internet ha strapazzato per risolvere il problema SSL dal 5 novembre, quando è stato fatto inavvertitamente pubblico su un elenco di discussione. Ma c'è stato qualche dibattito sulla gravità del difetto. Poco dopo che il bug è stato reso pubblico, il ricercatore di IBM Tom Cross ha dichiarato che, per la maggior parte, le principali applicazioni Web non sarebbero state interessate dal problema.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Ma Cross ha cambiato idea, scrivendo: "Sfortunatamente, la situazione è peggiore di quanto pensassi."

Le applicazioni webmail, in particolare, potrebbero anche essere a rischio di questo attacco. E gli esperti di sicurezza temono anche che altre applicazioni - i database, ad esempio - possano essere a rischio.

Twitter.com era vulnerabile al bug perché faceva ciò che si chiama rinegoziazione del client sotto SSL. La rinegoziazione del client fornisce al sito Web un modo per chiedere all'utente di Twitter un certificato SSL dopo che un utente è già connesso al sito. È uno strumento utile per i siti che consentono agli utenti di accedere tramite smart card o per siti che limitano l'accesso a un gruppo selezionato di navigatori Web predefiniti, ma finché il problema non viene risolto, la rinegoziazione del client apre anche la porta agli attacchi SSL.

Sono probabilmente molti siti come Twitter che consentono la rinegoziazione del client semplicemente perché è integrato nel protocollo SSL e il suo successore, TLS (Transport Layer Security), ha affermato Marsh Ray, uno degli sviluppatori PhoneFactor che ha scoperto il problema. "Un sacco di persone non si rendevano conto che lo stavano facendo", ha detto.

La buona notizia è che molti siti possono semplicemente disabilitarlo completamente, il che è apparentemente quello che ha fatto Twitter. Twitter non ha risposto a un messaggio che chiedeva commenti su questa storia.

Secondo Ray, la gente dovrebbe rendersi conto che mentre il difetto SSL non è catastrofico, "questo è un bug grave e le persone devono correggerlo".