c.m.g
30-10-2012, 09:17
lunedì 29 ottobre 2012
Ricercatori statunitensi descrivono il più diffuso sistema di trasmissione dati in sicurezza come fortemente a rischio di attacchi man-in-the-middle. La colpa non è dei programmatori, però, bensì delle API e delle librerie
Roma - Le potenziali insicurezza della tecnologia SSL (Secure Socket Layer) rappresentano un grosso problema per le comunicazioni telematiche fuori dal browser, e in questo caso non si parla solo di banali app per Android (http://punto-informatico.it/3630922/PI/News/android-quando-ssl-va-storto.aspx) ma di un gran numero di software di importanza critica responsabili del trasferimento dati in rete.
A identificare l'ennesima, problematica insicurezza di SSL sono due ricercatori statunitensi (University of Texas di Austin e Stanford University), che arrivano a definire la validazione dei certificati SSL nel software fuori dal browser web come il più pericoloso codice del mondo (http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf).
Client di instante messaging, applicazioni business che si interfacciano alle reti di e-payment di PayPal e Amazon, il numero e la qualità dei programmi affetti dal problema sono a dir poco preoccupanti. E non si tratta (almeno, non soltanto) del codice scritto per i suddetti software, dicono i ricercatori: il problema sono le librerie standard usate per implementare le comunicazioni SSL.JSSE, OpenSSL oppure GnuTLS, niente si salva dal difetto strutturale (http://www.h-online.com/security/news/item/SSL-certificates-and-the-most-dangerous-code-in-the-world-1737168.html) di complicare la vita al programmatore offrendo API con un design pessimo e una scelta di opzioni confusa. Il risultato è sempre lo stesso: i programmatori implementano la validazione dei certificati SSL in maniera errata o comunque potenzialmente vulnerabili a pericolosi attacchi di tipo man-in-the-middle.
Per provare la loro teoria, i ricercatori sono riusciti a far accettare dai software in oggetto tre diverse tipologie di certificati fasulli: un certificato auto-firmato con il nome corretto, un certificato auto-firmato con un nome casuale e uno proveniente da un'autorità valida ma concesso al dominio errato ("AllYourSSLAreBelongto.us"). La soluzione a questo ennesimo problema è evidente, dicono gli esperti: fornire ai programmatori librerie e interfacce più chiare e con funzionalità di log degli errori maggiormente consistenti.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3635477/PI/News/ssl-piu-grosso-pericolo-del-mondo-connesso.aspx)
Ricercatori statunitensi descrivono il più diffuso sistema di trasmissione dati in sicurezza come fortemente a rischio di attacchi man-in-the-middle. La colpa non è dei programmatori, però, bensì delle API e delle librerie
Roma - Le potenziali insicurezza della tecnologia SSL (Secure Socket Layer) rappresentano un grosso problema per le comunicazioni telematiche fuori dal browser, e in questo caso non si parla solo di banali app per Android (http://punto-informatico.it/3630922/PI/News/android-quando-ssl-va-storto.aspx) ma di un gran numero di software di importanza critica responsabili del trasferimento dati in rete.
A identificare l'ennesima, problematica insicurezza di SSL sono due ricercatori statunitensi (University of Texas di Austin e Stanford University), che arrivano a definire la validazione dei certificati SSL nel software fuori dal browser web come il più pericoloso codice del mondo (http://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf).
Client di instante messaging, applicazioni business che si interfacciano alle reti di e-payment di PayPal e Amazon, il numero e la qualità dei programmi affetti dal problema sono a dir poco preoccupanti. E non si tratta (almeno, non soltanto) del codice scritto per i suddetti software, dicono i ricercatori: il problema sono le librerie standard usate per implementare le comunicazioni SSL.JSSE, OpenSSL oppure GnuTLS, niente si salva dal difetto strutturale (http://www.h-online.com/security/news/item/SSL-certificates-and-the-most-dangerous-code-in-the-world-1737168.html) di complicare la vita al programmatore offrendo API con un design pessimo e una scelta di opzioni confusa. Il risultato è sempre lo stesso: i programmatori implementano la validazione dei certificati SSL in maniera errata o comunque potenzialmente vulnerabili a pericolosi attacchi di tipo man-in-the-middle.
Per provare la loro teoria, i ricercatori sono riusciti a far accettare dai software in oggetto tre diverse tipologie di certificati fasulli: un certificato auto-firmato con il nome corretto, un certificato auto-firmato con un nome casuale e uno proveniente da un'autorità valida ma concesso al dominio errato ("AllYourSSLAreBelongto.us"). La soluzione a questo ennesimo problema è evidente, dicono gli esperti: fornire ai programmatori librerie e interfacce più chiare e con funzionalità di log degli errori maggiormente consistenti.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3635477/PI/News/ssl-piu-grosso-pericolo-del-mondo-connesso.aspx)