Fornitori che si arrampicano per correggere bug nella sicurezza della rete

I produttori di software in tutto il mondo si sta adoperando per correggere un bug grave nella tecnologia utilizzata per trasferire le informazioni in modo sicuro su Internet.

Il difetto risiede nel protocollo SSL, meglio noto come tecnologia utilizzata per la navigazione sicura sui siti Web che iniziano con HTTPS, e consente gli utenti malintenzionati intercettano comunicazioni SSL (Secure Sockets Layer) sicure tra computer che utilizzano un attacco noto come "man-in-the-middle.

Anche se il difetto può essere sfruttato solo in determinate circostanze, può essere utilizzato per hackerare i server in condivisione ambienti di hosting, server di posta, database e molte altre applicazioni sicure, secondo Chris Paget, un ricercatore di sicurezza che ha studiato il problema.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

"È un difetto a livello di protocollo. " disse Paget, l'ufficiale capo della tecnologia con una società di consulenza sulla sicurezza chiamata H4rdw4re. "Ci sono un sacco di cose che dovranno essere corrette su questo: browser Web, server Web, bilanciamento del carico Web, acceleratori Web, server di posta, server SQL, driver ODBC, protocolli peer-to-peer."

Sebbene un hacker debba prima hackerare la rete della vittima per lanciare l'attacco man-in-the-middle, i risultati sarebbero devastanti, specialmente se usati in un attacco mirato per accedere a un database oa un server di posta, Ha detto Paget.

Poiché è ampiamente utilizzato, SSL è costantemente sotto il microscopio dei ricercatori di sicurezza. Alla fine dello scorso anno, i ricercatori hanno trovato un modo per creare certificati SSL falsi che sarebbero attendibili da qualsiasi browser, e in agosto i ricercatori hanno svelato una serie di nuovi attacchi che potrebbero compromettere il traffico SSL. Ma a differenza di quegli attacchi, che avevano a che fare con l'infrastruttura utilizzata per gestire i certificati digitali SSL, questo ultimo bug risiede nel protocollo SSL stesso e sarà molto più difficile da risolvere.

Ulteriori complicazioni è il fatto che il bug sia stato inavvertitamente svelato in una oscura mailing list Mercoledì, costringendo i venditori a una folle corsa per ricucire i loro prodotti.

Il problema è stato scoperto ad Augusta dai ricercatori di PhoneFactor, un'azienda di sicurezza di telefonia mobile. Lavoravano negli ultimi due mesi con un consorzio di fornitori di tecnologia chiamato ICASI (Industry Consortium for Advancement of Security su Internet) per coordinare una soluzione a livello di settore per il problema, soprannominato "Project Mogul".

Ma loro Mercoledì i piani attenti sono stati messi in disordine quando l'ingegnere di SAP Martin Rex si è imbattuto nel bug da solo. Apparentemente inconsapevole della gravità del problema, ha pubblicato le sue osservazioni sul problema in una lista di discussione IETF (Internet Engineering Task Force). Fu poi pubblicizzato dal ricercatore di sicurezza HD Moore.

Nel pomeriggio di mercoledì, abbastanza persone stavano parlando del problema che PhoneFactor decise di rendere pubbliche con le loro scoperte. "A quel punto ci sentivamo come se i cattivi lo sapessero e sentivamo di avere una responsabilità anche per i bravi ragazzi", ha detto Sarah Fender, vice presidente marketing di PhoneFactor.

Fender non ha potuto dire chi era pronto per il patch il problema, ma ha notato che un certo numero di prodotti open source sono "ansiosi" per spingere una patch. "Penso che vedremo alcune patch nel prossimo futuro", ha detto.

L'ICASI non è stato raggiunto per un commento mercoledì sera.

Anche se gli esperti di sicurezza dicono che il difetto è probabilmente esistito per anni, non è pensato che sia stato sfruttato in qualsiasi attacco.

"Mentre consideriamo una vulnerabilità materiale, non è la fine del mondo", ha detto Fender.