Archivi categoria: SSL Pulse

BEAST, L’Attacco Informatico Che Fa Ancora Paura

Con il presente post, dedicato all’attacco informatico “BEAST” e a come lo stesso rappresenti tutt’ora un serio spauracchio alla sicurezza digitale, chiudiamo la prima fase di analisi generale relativa ai risultati dello studio SSL Pulse.

Con l’acronimo BEAST (Browser Exploit Against SSL/TLS) si indica l’attacco ideato nel 2001 e perpetrato effettivamente dagli hackers Juliano Rizzo e Thai Duong durante “Ekoparty”, evento annuale dedicato alla sicurezza digitale.

L’”aggressione” in questione, basata sullo sfruttamento della vulnerabilità del protocollo di criptazione SSL, prevede la comunicazione indebita dei cookies rilasciati durante una sessione di navigazione della vittima dell’attacco; il tutto avviene attraverso un codice JavaScript inserito all’interno del browser di navigazione web.

Nonostante l’attacco BEAST fosse stato indirizzato alla versione 1.1 di TLS (Transport Layer Security), la minaccia rimane più che mai reale, considerando il fatto che una grande quantità di browsers e di servers risulta purtroppo ancora sprovvista delle versioni più recenti del protocollo di crittazione di cui sopra.

Potenzialità Dell'Attacco Beast Sui Principali Siti Web Al Mondo (Fonte: SSL Pulse, 2012)

Potenzialità Dell’Attacco Beast Sui Principali Siti Web Al Mondo (Fonte: SSL Pulse, 2012)

Affinché questa minaccia possa essere mitigata è necessario che il server di riferimento comunichi, utilizzando le versioni di certificati TLS 1.0 o SSL 3.0, solo RC4.

L’attacco BEAST, contrassegnato da numero di riferimento CVE-2011-3389, resta, secondo i ricercatori di Trustworthy Internet Movement, un fattore di preoccupazione per oltre 138 mila tra le maggiori pagine web sulla Rete (73,7% degli esaminati).

Lascia un commento

Archiviato in BEAST Attack/Attacco BEAST, Certificati SSL, SSL Pulse

Attacco Alla Logica Di Rinegoziazione SSL/TLS, Chi Ha Rimediato? I Dati Di SSL Pulse

Nel 2009 la logica di rinegoziazione del protocollo SSL/TLS ha subìto un attacco, perpetrato con un’azione di tipologia man-in-the-middle (MITM), che ha causato conseguenze notevoli alla criptazione dei dati sensibili e delle transazioni svolte online. Attraverso quest’attacco gli hackers hanno potuto trafugare indebitamente, prima che i maggiori venditori di browser potessero ideare ed attivare una relativa protezione, informazioni personali (nomi, cognomi, indirizzi, ecc.) e dati di pagamento/bancari che avrebbero chiaramente dovuto rimanere crittografati.

L’attacco informatico man-in-the-middle (MITM) vede un soggetto, l’hacker, introdursi furtivamente nel sistema impersonando la sua vittima ed estraendo, con l’inganno, dati confidenziali; tecnicamente questo genere di azione vede l’immissione di dati all’interno della connessione tra clientserver.

Man-In-The-Middle, Come Avviene L'Attacco

Man-In-The-Middle, Come Avviene L’Attacco

Quello appena descritto è ciò che 3 anni fa è accaduto con il cosiddetto renegotiation attack (CVE-2009-3555), nei confronti del quale tutti i produttori di browsers (su tutti Mozilla Firefox) hanno dovuto individuare strumenti in grado di restituire credibilità e sicurezza alle transazioni in Rete e all’uso delle certificazioni SSL.

Attacco Alla Rinegoziazione SSL/TLS, I Dati Dello Studio SSL Pulse

Secondo quanto apparso nella recente indagine condotta da Trustworthy Internet Movement, intitolata SSL Pulse e avente come soggetto di studio quasi 200.000 domini web tra i più importanti al mondo, il 72% (quasi 143.000 unità) dei siti internet è immune da un eventuale rischio di rinegoziazione, mentre permane un preoccupante 13,1% (circa 26.000) potrebbe avere, in caso di futuro attacco di questo tipo, seri problemi di sicurezza.

Diffusione di pericoli da "man-in-the-middle" sui principali siti web al mondo (fonte SSL Pulse, 2012)

Diffusione di pericoli da “man-in-the-middle” sui principali siti web al mondo (fonte SSL Pulse, 2012)

Lascia un commento

Archiviato in Certificati SSL, SSL Pulse

2048 Bit La Chiave Di Crittografia Più Diffusa Tra I Certificati SSL

Proseguiamo l’analisi delle indicazioni relative alla sicurezza online ottenute dallo studio SSL Pulse soffermandoci, con questo post, sul valore delle encryption keys presenti tra i certificati dei quasi 200.000 siti web analizzati.

Dopo molte indicazioni preoccupanti finalmente qualcosa di positivo: la chiave di criptazione più diffusa, con un importante 81,3%, risulta essere quella a 2048 bit, universalmente considerata quella più sicura tra le Autorità di Certificazione sul web.

Chiave Di Criptazione Certificati SSL (Fonte, SSL Pulse 2012)

Chiave Di Criptazione Certificati SSL (Fonte, SSL Pulse 2012)

Con il termine chiave di criptazione si intende il meccanismo tecnico-informatico in grado di schermare i dati (informazioni personali, dettagli di pagamento, ecc.) trasmessi durante una sessione Internet tra un client ed un server.

Controllare questa tipologia di valore è quanto mai importante in quanto definisce in maniera inequivocabile quanto l’interazione con una pagina web è più o meno sicura. Al giorno d’oggi le certificazioni che “vantano” chiavi a valore minore di 2048 bit (1024, 512, ecc.) sono considerate non sicure, quindi è altamente sconsigliato rivolgersi ai siti web che hanno una chiave talmente debole in quanto, nel loro caso, la presenza di un certificato SSL è solo “di facciata”.

E’ auspicabile, infine, che i maggiori browser di navigazione web e i principali produttori di certificazioni SSL si uniscano per innalzare ulteriormente questo valore di sicurezza; alcuni di questi l’hanno già fatto introducendo sul mercato soluzioni a 4096 o più bit, assolutamente perfette e praticamente inespugnabili ad attacchi esterni.

1 Commento

Archiviato in Certificati SSL, Sicurezza Connessioni, SSL Pulse

Certificazioni SSL EV, Tanto Preziose Quanto Rare

SSL Pulse, all’interno della sua ampia attività di ricerca relativa alla sicurezza online, si è dedicata allo studio della categoria di certificati SSL più avanzata sul mercato, le versioni Extended Validation (EV).

Con l’acronimo EV si indicano tutte quelle certificazioni SSL ad alto livello di sicurezza richiedenti, prima di poter essere emesse, il positivo compimento di un processo di identificazione manuale presieduto dall’Autorità di Certificazione (CA) responsabile del rilascio della stessa, destinato ad identificare e accertare qual’è la società titolare del dominio in questione (“è reale?”, “è affidabile?”, ecc.).

I certificati SSL Extended Validation rappresentano, indubbiamente, l’evoluzione più sorprendente e decisa nel panorama della sicurezza digitale, anche grazie all’introduzione della “green bar” (“barra verde”), visualizzata all’interno delle barre d’indirizzo dei principali browser in uso sul web.

Certificati SSL EV Con Barra Verde

Certificati SSL EV Con Barra Verde

Affinché un certificato SSL EV possa essere emesso le Autorità Certificanti (sarebbe meglio specificare, in realtà, che questo tipo di verifica è posto in essere da Autorità Certificanti attendibili) provvedono a controllare pedissequamente le informazioni societarie (anagrafica, nome del registrar del dominio, ecc.) presenti all’interno della richiesta e quelle contenute sui registri online che riuniscono i dati relativi ai domini registrati, anche detti WHOIS. In Italia il registro più conosciuto ed attendibile per i domini che terminano con la dicitura “.it” è nic.it, mentre per i domini “.com” si consiglia di consultare who.is.

Registro WHOIS Su WWW.NIC.IT

Registro WHOIS Su WWW.NIC.IT

Registro WHOIS Su Who.Is

Registro WHOIS Su Who.Is

Il team di Sicurezza Digitale, considerata l’esperienza personale di alcuni suoi componenti, intende sottolineare che la tempistica di emissione di questa tipologia di certificati SSL è, indubbiamente, il lato più negativo di un prodotto assolutamente consigliabile a chi intende essere un “numero uno” su Internet, specialmente per quanto concerne l’e-commerce. E’ bene sapere, prima di acquistare una certificazione digitale di questo tipo, che prima di poter essere emessa necessita di più di 7 giorni per la raccolta dei documenti societari da fornire alla CA in questione, visto che gli stessi sono solitamente esaminati con cura minuziosa (e, permetteteci il termine, un certo puntiglio a volte irritante 😉 ). Sempre per esperienza personale, effettuate l’ordine dopo aver controllato sui registri online che il nome dell’organizzazione sia quello che desiderate appaia sulla barra d’indirizzo del certificato, visto che non sono possibili successive modifiche!

Ferma restando la necessità, per chiunque si occupi di e-commerce, di richiedere ed installare un certificato SSL Extended Validation sul server di riferimento, veniamo ai dati resi noti da “Trustworthy Internet Movement”.

Diffusione Delle Certificazioni SSL EV "Barra Verde" (SSL Pulse, 2012)

Diffusione Delle Certificazioni SSL EV “Barra Verde” (SSL Pulse, 2012)

Solo il 7,8(circa 15.000 dei quasi 200.000 domini oggetto di indagine online) risulta possedere un certificato SSL con barra verde, in grado di rispondere in concreto alle necessità di sicurezza sempre più percepite come reali da parte di chi vive giorno dopo giorno di commercio elettronico. E’ lecito attendersi una massiccia introduzione di questa tipologia di certificazioni SSL a partire dai prossimi mesi, anche per via della ferma intenzione delle più rinomate CA relativamente agli investimenti che verranno posti in essere in futuro per la sicurezza digitale.

Lascia un commento

Archiviato in Certificati SSL, EV/Extended Validation, SSL Pulse

Certificati SSL Come Diamanti, Sicurezza A 5 Facce

Nel post di oggi ci dedichiamo attenzione, ancora una volta, alla ricerca SSL Pulse, in particolare alle diverse versioni di certificazioni digitali SSL tutt’ora in commercio.

SSL Pulse è il progetto di Trustworthy Internet Movement, organizzazione no-profit dedicata al monitoraggio del livello di sicurezza della Rete.

Parlare di certificati SSL è spesso piuttosto semplice, o almeno questo è il sentimento della maggior parte di coloro i quali si affacciano a questo mondo per acquistare un prodotto in grado di mettere in sicurezza le informazioni e/o le transazioni che si svolgono sul proprio dominio (vendite, acquisti, e-mail, ecc. ecc.).

In commercio, e in generale sul web, è tutt’ora possibile incontrare 5 diverse versioni di protocolli SSL, divise tra SSL (Secure Socket Layer) e TLS (Transport Layer Security):

  • SSL v2.0
  • SSL v3.0
  • TLS v1.0
  • TLS v1.1
  • TLS v1.2

Il livello di sicurezza tra queste 5 tipologie di certificato SSL sono estremamente diverse. TLS v1.0 è reputata, universalmente, la migliore scelta possibile nella configurazione del server di riferimento, mentre SSL v2.0 è individuato come il livello di protocollo meno sicuro presente su Internet tra le pagine web protette da questo genere di certificazioni. Optando per un certificato TLS v1.0 si consiglia vivamente di controllare l’effettiva riduzione, nella configurazione sul server, dell’attacco BEAST.

Una scelta ancora migliore sarebbe quella di optare per le versioni di TLS 1.1 e 1.2, controllando l’effettivo supporto garantito ad entrambi da parte del server di riferimento; in questo caso i clients con supporto attivo per i protocolli di criptazione più recenti sceglieranno una di queste due gradazioni di sicurezza, mentre gli altri verranno indirizzati al comunque estremamente affidabile TLS 1.0.

SSL Pulse ha riscontrato, nel corso del proprio studio, quanto la quasi totalità (oltre il 99%) dei circa 200.000 siti internet oggetto della ricerca supporti i protocolli di criptazione SSL 3.0 e TLS 1.0. Persiste, tuttavia, un preoccupante 33% che permette l’utilizzo solo della versione SSL 2.0 non sicura.

Come Scoprire La Versione SSL E TLS Sui Siti Web In HTTPS

Sei interessato a scoprire qual’è la versione di SSL e/o di TLS presente sul sito online protetto che stai visitando? Questo tipo di informazione è visibile in tutti i web-browser; per quanto riguarda Google Chrome accedi al sito protetto in modalità HTTPS, all’interno della pagina (in uno spazio bianco della stessa) clicca con il tasto destro del mouse e chiedi di visionare le informazioni sulla pagina. All’interno del box che apparirà potrai consultare comodamente il livello di criptazione SSL o TLS attualmente attivo.

Lascia un commento

Archiviato in BEAST Attack/Attacco BEAST, Certificati SSL, SSL Pulse

Sicurezza SSL Anche Con Problemi Del Protocollo HTTPS, Le Rilevazioni Di SSL Pulse

Il team di Sicurezza Digitale prosegue nell’analisi dei risultati ottenuti dallo studio condotto all’interno del progetto SSL Pulse: oggi è la volta di HTTP Strict Transport Security (HSTS).

La rete di sicurezza HSTS può essere descritta come una tecnologia progettata per garantire connessioni sicure anche in caso di errori e/o problemi di configurazione e implementazione del protocollo “Secure Socket Layer”.

Tecnicamente parlando un server web dichiara, attraverso il campo di risposta HTTP “Sicurezza Di Trasporto Ristretto” (Strict-Transport-Security), di interagire col browser in questione solo in condizioni di sicurezza (HTTPS); questa dichiarazione è valida solo per un periodo limitato di tempo.

Per poter attivare l’HSTS è necessario impostare, all’interno del sito internet in oggetto, una singola intestazione di risposta. Al momento i browser che supportano questa tipologia di servizio sono Google Chrome e Mozilla Firefox.

All’interno del browser Chrome l’HSTS può essere attivato accedendo alla seguente pagina: chrome://net-internals/#hsts

La schermata di HSTS visualizzata su Google Chrome

La schermata di HSTS visualizzata su Google Chrome

L’obiettivo di HSTS è principalmente quello di non consentire, dopo l’attivazione, lo svolgimento di alcuna comunicazione non sicura nei confronti del sito web in questione.

All’interno dell’indagine condotta dal movimento indipendente Trustworthy Internet è risultato che meno dell’1% dei 200.000 siti web analizzati (1697, per la precisione) supporta l’HTTP Strict Transport Security.

Lascia un commento

Archiviato in HSTS, Sicurezza Connessioni, SSL Pulse

“Chiavi Di Criptazione Inferiori A 1024”, L’Allarme Di SSL Pulse

L’approfondimento relativo allo studio sulla sicurezza digitale chiamato SSL Pulse continua oggi, sul nostro blog, con l’analisi dei valori registrati per la chiave di sicurezza che compone ogni certificato SSL utilizzato sul web.

Il concetto di Key Strenght è di particolare importanza nell’analisi della crittografia, in quanto stabilisce quando una certificazione SSL, e conseguentemente il sito web sul quale essa è presente, è al sicuro.

In occasione dell’interessante analisi condotta dal “Trustworthy Internet Movement”, pubblicata qui, si scopre che vi è tutt’ora un limitato numero di siti internet (per la precisione 19 tra i quasi 200.000 analizzati tra i più rilevanti al mondo) che detiene soluzioni per la sicurezza online dal limitato numero di bit.

Questi certificati SSL “vantano” valori di criptazione minori di 1024 bit! Il dato è, per questi 19 siti internet, sconvolgente e preoccupante. Universalmente si considera che il valore minimo accettabile per qualsiasi certificato digitale è, per lo meno, di 1024 bit, quindi tutti coloro che posseggono un certificato SSL sotto questo limite debbono, entro 2 anni (2014), migrare verso soluzioni a 2048 bit.

Più una chiave è corta in termini di bit più un certificato può essere potenzialmente soggetto ad un “attacco a forza bruta”, mediante il quale colui il quale cerca di accedere indebitamente ai dati criptati tenta di trovare la soluzione all’enigma esplorando, attraverso l’utilizzo di un calcolatore, tutte le chiavi possibili.

Di conseguenza è chiaro comprendere che la forza di una determinata chiave di criptazione dipende dalla velocità dei supporti informatici adoperabili per espugnare il sistema ed accedere ai dati nascosti; più i calcolatori diventano abili a gestire e sviluppare soluzioni più rapidamente, più è necessario per le Autorità di Certificazione (CA) allargare lo spettro di metodi di criptazione disponibili.

Per questo motivo vi sono soluzioni di certificazione SSL che propongono chiavi della lunghezza di 4096 bits. Per poter godere di una cifratura perfetta la soluzione desiderabile sarebbe quella di poter utilizzare una chiave lunga quanto il messaggio che deve essere cifrato.

Lascia un commento

Archiviato in Certificati SSL, SSL Pulse