Decine di migliaia di siti HTTPS a rischio con Logjam, forse il bug sfruttato dalla NSA

Decine di migliaia di siti HTTPS a rischio con Logjam, forse il bug sfruttato dalla NSA

Un gruppo di ricercatori di sicurezza ha rilasciato un rapporto tecnico su Logjam, bug che potrebbe coinvolgere decine di migliaia di siti web e che, forse, è stato sfruttato anche dalla NSA per i propri attacchi di cyberspionaggio

di pubblicata il , alle 16:52 nel canale Sicurezza
 

Decine di migliaia di servizi online basati sul protocollo HTTPS sono vulnerabili ad un nuovo attacco, Logjam, che consente all'artefice di intercettare e modificare i dati sensibili che passano attraverso le connessioni protette da crittografia. È quanto ha affermato un team di sviluppatori (Microsoft Research, INRIA, Università di Michigan e di Pennsylvania) sostenendo che la causa sia relativa ad un'errata implementazione dell'algoritmo "Diffie-Hellman" per la negoziazione delle chiavi condivise per stabilire una connessione sicura.

Stando al report della ricerca, è vulnerabile al bug quasi il 9% del milione dei domini più importanti su HTTPS scandagliati dai ricercatori di sicurezza, mentre è leggermente più ampia (14,8%) la percentuale dei server mail SMTP+StartTLS coinvolti che si basano su IPv4. Sfruttando Logjam, è possibile operare un attacco man-in-the-middle con cui impostare il livello di crittografia ad un livello più basso, ad esempio a 512-bit, in modo da rendere più semplice l'accesso ai dati a terzi sfruttando procedure più rapide praticabili da chiunque abbia a disposizione i mezzi necessari per l'hack.

La debolezza dell'algoritmo è il risultato ottenuto di riflesso dalle restrizioni impartite dal governo statunitense negli anni '90 agli sviluppatori software. Questi, nello specifico, avrebbero dovuto garantire la possibilità, alle agenzie governative, di aggirare la crittografia di tutte le applicazioni esportabili all'estero. Gli attaccanti in grado di monitorare la connessione fra utente finale e server facente uso del "Diffie-Hellman" possono così iniettare codice nel traffico fra le due entità per provocare il "downgrade" a 512-bit e agire con estrema semplicità.

In realtà, l'algoritmo per lo scambio di chiavi "Diffie-Hellman" è stato progettato con il fine opposto, ovvero per aggiungere un ulteriore strato di protezione alla connessione fra client e server. Permette infatti di aggiornare frequentemente la chiave crittografica utilizzata nella connessione, rendendo quindi un'ipotetica manomissione dei dati scambiati sensibilmente più complicata. L'ipotetico attaccante, infatti, ha bisogno di una nuova chiave ogni volta che questa viene modificata.

Di fatto, la natura di Logjam ricorda in parte FREAK, recente vulnerabilità che permetteva agli aggressori di declassare il livello di crittografia delle connessioni protette a 512-bit. Con hardware comune, i ricercatori che hanno scoperto la falla hanno impiegato solo due settimane per generare i dati necessari che l'algoritmo usa per la negoziazione delle chiavi "effimere". Gli stessi dati permettono di penetrare le difese del 92% dei siti che supportano le tecnologie "export cypher" del "Diffie-Hellman".

Secondo i ricercatori, la vulnerabilità scoperta sull'algoritmo potrebbe essere la base con cui la NSA ha operato le "milioni" di perquisizioni digitali su connessioni protette. Edward Snowden aveva rivelato l'esecuzione degli attacchi, ma non ha mai specificato le tecniche utilizzate dalle agenzie governative statunitensi, e tali procedure "standardizzate" potrebbero spiegare come le stesse agenzie siano state in grado di aggirare determinate protezioni su un bacino di vittime così ampio.

I ricercatori hanno rilasciato una guida passo-passo per sviluppatori per implementare correttamente l'algoritmo Diffle-Hellman via TLS, ma anche gli utenti possono proteggersi con l'uso di browser non vulnerabili al bug: fra i più celebri l'unico sicuro è Internet Explorer, mentre sia Chrome che Firefox sono attualmente aperti a potenziali attacchi esterni con Logjam. Google ha comunque già rilasciato un comunicato sull'argomento, informando che è già al lavoro per implementare restrizioni per il supporto di chiavi crittografiche da almeno 1024-bit.

In questa pagina, infine, è possibile verificare se il proprio browser è vulnerabile all'attacco.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
benderchetioffender20 Maggio 2015, 18:43 #1
potrebbe essere la base con cui la NSA ha operato le "milioni" di "perquisizioni" digitali su connessioni protette


direi di aggiungere le virgolette anche a -perquisizioni- visto che è molto probabile che il fine di NSA sia totalmente diverso da quello di proteggere la sicurezza dei cittadini americani, bensì avvantaggiare le industrie del paese con uno spionaggio "a strascico" a livello mondiale

anyway, speriamo in un aggiornamento a breve dei nostri browser preferiti
GTKM20 Maggio 2015, 18:55 #2
Originariamente inviato da: benderchetioffender
direi di aggiungere le virgolette anche a -perquisizioni- visto che è molto probabile che il fine di NSA sia totalmente diverso da quello di proteggere la sicurezza dei cittadini americani, bensì avvantaggiare le industrie del paese con uno spionaggio "a strascico" a livello mondiale

anyway, speriamo in un aggiornamento a breve dei nostri browser preferiti


Direi che concordo con te.

D'altronde, se non ricordo male, un ex Presidente degli U.S.A. disse, una volta, che sarebbe stato stupido non sfruttare il loro sistema informatico "per fini industriali".
TheQ.20 Maggio 2015, 20:41 #3
Più che accaTTPS oramai è caccaTTpS.
Tamto più che mi piacerebbe sapere quanto si pagano i certificati...
Pier220420 Maggio 2015, 20:56 #4
Nella sua lettera al Brasile, Snowden aveva già sostenuto quanto ha fatto scalpore in queste ore: «Questi programmi (di sorveglianza, ndr) non hanno mai riguardato il terrorismo: riguardano lo spionaggio economico, il controllo sociale, e la manipolazione diplomatica. Riguardano il potere». E del resto è proprio in Brasile che Glenn Greenwald, che al Parlamento Europeo ha parlato di almeno 12 casi di spionaggio commerciale condotto da NSA e alleati, ha rivelato che l'intelligence spierebbe il colosso petrolifero Petrobras e i circuiti della Society for Worldwide Interbank Financial Telecommunication (SWIFT). Il programma Blarney, inoltre, raccoglierebbe anche informazioni «economiche», oltre che militari, diplomatiche e politiche. Non sorprende se, come ha scritto Der Spiegel il 15 settembre 2013, l'NSA ha addirittura un programma chiamato 'Follow The Money' che costituisce un database di milioni di transazioni finanziarie, 180 nel solo 2011. E se, come rivelato di recente dal New York Times, l'intelligence riesce a violare le difese di oltre 100 mila reti informatiche nel mondo (quante a fini commerciali?).
Non a caso, quindi, tra le 46 raccomandazioni del panel di esperti a Obama - in buona parte inascoltate - figurava anche l'invito a «non usare la sorveglianza per rubare segreti industriali a vantaggio delle aziende domestiche» o per «manipolare il sistema finaziario». Invito che Obama ha rigettato, rifiutandone perfino la motivazione. E che Snowden invece sembra suggerire sia uno dei fronti aperti, e caldi, dello scandalo.


Io credo che se vogliono salvarsi la faccia dovrebbero mettere il guinzaglio alla National Security Agency, e già che ci sono anche ai loro alleati Britannici che in fatto di spie non sono secondi a nessuno.

Ormai hanno passato il limite fisiologico da un bel pezzo, detto in termini tecnici, stanno rompendo pesantemente i @@.

Vediamo cosa riesce a fare Obama, se è più forte delle lobby oppure fa la figura del pellegrino.
GTKM20 Maggio 2015, 21:26 #5
Originariamente inviato da: Pier2204
Nella sua lettera al Brasile, Snowden aveva già sostenuto quanto ha fatto scalpore in queste ore: «Questi programmi (di sorveglianza, ndr) non hanno mai riguardato il terrorismo: riguardano lo spionaggio economico, il controllo sociale, e la manipolazione diplomatica. Riguardano il potere». E del resto è proprio in Brasile che Glenn Greenwald, che al Parlamento Europeo ha parlato di almeno 12 casi di spionaggio commerciale condotto da NSA e alleati, ha rivelato che l'intelligence spierebbe il colosso petrolifero Petrobras e i circuiti della Society for Worldwide Interbank Financial Telecommunication (SWIFT). Il programma Blarney, inoltre, raccoglierebbe anche informazioni «economiche», oltre che militari, diplomatiche e politiche. Non sorprende se, come ha scritto Der Spiegel il 15 settembre 2013, l'NSA ha addirittura un programma chiamato 'Follow The Money' che costituisce un database di milioni di transazioni finanziarie, 180 nel solo 2011. E se, come rivelato di recente dal New York Times, l'intelligence riesce a violare le difese di oltre 100 mila reti informatiche nel mondo (quante a fini commerciali?).
Non a caso, quindi, tra le 46 raccomandazioni del panel di esperti a Obama - in buona parte inascoltate - figurava anche l'invito a «non usare la sorveglianza per rubare segreti industriali a vantaggio delle aziende domestiche» o per «manipolare il sistema finaziario». Invito che Obama ha rigettato, rifiutandone perfino la motivazione. E che Snowden invece sembra suggerire sia uno dei fronti aperti, e caldi, dello scandalo.


Io credo che se vogliono salvarsi la faccia dovrebbero mettere il guinzaglio alla National Security Agency, e già che ci sono anche ai loro alleati Britannici che in fatto di spie non sono secondi a nessuno.

Ormai hanno passato il limite fisiologico da un bel pezzo, detto in termini tecnici, stanno rompendo pesantemente i @@.

Vediamo cosa riesce a fare Obama, se è più forte delle lobby oppure fa la figura del pellegrino.


Qualsiasi Presidente è stato eletto dopo campagne finanziate da qualche lobby, c'è poco da fare.
GTKM21 Maggio 2015, 07:35 #6
Originariamente inviato da: pulsar68
Comunque tutti spiano tutti.

Questa notizia

“SPIE TEDESCHE HANNO AIUTATO LA NSA USA A SORVEGLIARE IL GOVERNO FRANCESE, L’EUROCOMMISSIONE E I COLOSSI AEROSPAZIALI”

Nel 2014 la Merkel aveva condannato in modo fermo lo spionaggio americano in Germania ma oggi quelle parole "suonano piene d’ipocrisia”, accusa il quotidiano Bild - Crisi aperta tra Germania e Francia mentre le due potenze cercano di gestire insieme il negoziato con la Russia - Il numero 1 della Commissione Juncker: “Non so se nel mio ufficio siano attivi 007 tedeschi”...

in Italia è passata pressoché inosservata (tanto per cambiare) ma in Germania si è scatenato un putiferio
http://www.dagospia.com/rubrica-3/p...a-usa-99655.htm

Non ho trovato altri link in italiano che trattassero la notizia, e questo la dice lunga sullo stato dell'informazione made in Italy...

Vorrei sottolineare questa frase "Le rivelazioni della Sueddeutsche Zeitung e di canali tv pubblici hanno scatenato una crisi tra i due paesi"

... canali TV pubblici... potrebbe mai accadere da noi??


Ieri io e mio padre stavamo notando, per l'ennesima volta, come i tg in Italia si concentrino quasi esclusivamente sulle vicende di cronaca nera, tralasciando, o trattando con leggerezza, qualsiasi altra cosa.
Pier220421 Maggio 2015, 09:16 #7
Originariamente inviato da: GTKM
Ieri io e mio padre stavamo notando, per l'ennesima volta, come i tg in Italia si concentrino quasi esclusivamente sulle vicende di cronaca nera, tralasciando, o trattando con leggerezza, qualsiasi altra cosa.


L'Informazione in Italia, a parte pochi casi, è manipolata sia in TV che sui giornali.
L'informazione Politica poi non ne parliamo
...non per niente siamo al 73° posto riguardo la libertà di stampa, ce la battiamo con il Mozambico, il Senegal e la Sierra Leone.

I pochi che cercano di fare vera informazione subiscono minacce e attacchi più o meno pesanti.
bobafetthotmail21 Maggio 2015, 12:38 #8
Originariamente inviato da: TheQ.
Più che accaTTPS oramai è caccaTTéS.
Fare questi giochini di parole è facile, fare un sistema di crittazione inviolabile invece...
Tamto più che mi piacerebbe sapere quanto si pagano i certificati...
5 secondi ca Google:
https://www.namecheap.com/security/...rtificates.aspx meno di 10 euro l'anno.

Originariamente inviato da: Pier2204
L'Informazione in Italia, a parte pochi casi, è manipolata sia in TV che sui giornali.
Concordo. Butto lì quello che ha detto Saviano recentemente al Salone del Libro.
http://www.huffingtonpost.it/2015/0..._n_7297986.html

cito testualmente frase saliente (leggera modifica perchè ho sentito per radio quello che ha detto)
"Quando c'erano i "cattivi"... cioè Berlusconi al governo l'argomento antimafia era abbastanza principe per dimostrare che il Governo non andava bene. Quando ci sono al governo i "buoni" l'aspetto antimafia sparisce"

Ma anche fuori non è che sia così rosea. (sempre Saviano, dall'articolo)

"Pensavo fosse una grande occasione. Questo paese ha una grande tradizione antimafia e pensavo si sarebbero chieste all'Europa leggi antiriciclaggio. Sapete quale è la città - ha sottolineato Saviano - in cui si ricicla di più al mondo? Londra. E poi c'è l'Austria. E chi è contro le leggi antiriciclaggio? La Gran Bretagna e l'Austria"
Pier220421 Maggio 2015, 13:01 #9
Originariamente inviato da: bobafetthotmail
Fare questi giochini di parole è facile, fare un sistema di crittazione inviolabile invece...
5 secondi ca Google:
https://www.namecheap.com/security/...rtificates.aspx meno di 10 euro l'anno.

Concordo. Butto lì quello che ha detto Saviano recentemente al Salone del Libro.
http://www.huffingtonpost.it/2015/0..._n_7297986.html

cito testualmente frase saliente (leggera modifica perchè ho sentito per radio quello che ha detto)
"Quando c'erano i "cattivi"... cioè Berlusconi al governo l'argomento antimafia era abbastanza principe per dimostrare che il Governo non andava bene. Quando ci sono al governo i "buoni" l'aspetto antimafia sparisce"

Ma anche fuori non è che sia così rosea. (sempre Saviano, dall'articolo)

"Pensavo fosse una grande occasione. Questo paese ha una grande tradizione antimafia e pensavo si sarebbero chieste all'Europa leggi antiriciclaggio. Sapete quale è la città - ha sottolineato Saviano - in cui si ricicla di più al mondo? Londra. E poi c'è l'Austria. E chi è contro le leggi antiriciclaggio? La Gran Bretagna e l'Austria"


Esatto, in Inghilterra ci sono consulenze e studi legali per lo scopo, in Austria addirittura allettavano gli industriali della zona nord est a trasferire le loro attività in Austria garantendo tassazioni tre volte inferiori all'Italia, anzi, nello start-up si opera senza tasse.
Ma il problema non sono loro, il problema e la stupidità politica Italiana...
Poi nei suddetti paesi hanno sviluppato la capacità di rendere mooolto redditizio il riciclaggio di miliardi di attività illecite del nostro paese, punti percentuali del PIL garantito dal narcotraffico che finiscono all'estero....
GTKM21 Maggio 2015, 13:09 #10
Originariamente inviato da: pulsar68
Esatto!
I TG italioti innanzitutto devono compiacere i politicanti di turno che occupano le poltrone in RAI, poi la casalinga media che vuol sapere tutto sull'ultimo fatto di cronaca, un pezzo sulla moda non puo' mancare, e poi un pochino di economia che ti giuro sono fatti con un'approssimazione indecente per uno che si dovrebbe chiamare "giornalista".

Siamo veramente "la terra dei cachi"


Ma con la cronaca nera si è arrivati a livelli clamorosi. Ormai la gang di Barbara D'Urso conduce indagini più approfondite di quelle della FBI

Qualsiasi tema delicato viene trattato con una superficialità disarmante, volta, di solito, a rafforzare gli stereotipi del cittadino medio.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^