Attacco Alla Logica Di Rinegoziazione SSL/TLS, Chi Ha Rimediato? I Dati Di SSL Pulse

Nel 2009 la logica di rinegoziazione del protocollo SSL/TLS ha subìto un attacco, perpetrato con un’azione di tipologia man-in-the-middle (MITM), che ha causato conseguenze notevoli alla criptazione dei dati sensibili e delle transazioni svolte online. Attraverso quest’attacco gli hackers hanno potuto trafugare indebitamente, prima che i maggiori venditori di browser potessero ideare ed attivare una relativa protezione, informazioni personali (nomi, cognomi, indirizzi, ecc.) e dati di pagamento/bancari che avrebbero chiaramente dovuto rimanere crittografati.

L’attacco informatico man-in-the-middle (MITM) vede un soggetto, l’hacker, introdursi furtivamente nel sistema impersonando la sua vittima ed estraendo, con l’inganno, dati confidenziali; tecnicamente questo genere di azione vede l’immissione di dati all’interno della connessione tra clientserver.

Man-In-The-Middle, Come Avviene L'Attacco

Man-In-The-Middle, Come Avviene L’Attacco

Quello appena descritto è ciò che 3 anni fa è accaduto con il cosiddetto renegotiation attack (CVE-2009-3555), nei confronti del quale tutti i produttori di browsers (su tutti Mozilla Firefox) hanno dovuto individuare strumenti in grado di restituire credibilità e sicurezza alle transazioni in Rete e all’uso delle certificazioni SSL.

Attacco Alla Rinegoziazione SSL/TLS, I Dati Dello Studio SSL Pulse

Secondo quanto apparso nella recente indagine condotta da Trustworthy Internet Movement, intitolata SSL Pulse e avente come soggetto di studio quasi 200.000 domini web tra i più importanti al mondo, il 72% (quasi 143.000 unità) dei siti internet è immune da un eventuale rischio di rinegoziazione, mentre permane un preoccupante 13,1% (circa 26.000) potrebbe avere, in caso di futuro attacco di questo tipo, seri problemi di sicurezza.

Diffusione di pericoli da "man-in-the-middle" sui principali siti web al mondo (fonte SSL Pulse, 2012)

Diffusione di pericoli da “man-in-the-middle” sui principali siti web al mondo (fonte SSL Pulse, 2012)

Annunci

Lascia un commento

Archiviato in Certificati SSL, SSL Pulse

Commenta

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...