Archivi tag: ssl 3.0

BEAST, L’Attacco Informatico Che Fa Ancora Paura

Con il presente post, dedicato all’attacco informatico “BEAST” e a come lo stesso rappresenti tutt’ora un serio spauracchio alla sicurezza digitale, chiudiamo la prima fase di analisi generale relativa ai risultati dello studio SSL Pulse.

Con l’acronimo BEAST (Browser Exploit Against SSL/TLS) si indica l’attacco ideato nel 2001 e perpetrato effettivamente dagli hackers Juliano Rizzo e Thai Duong durante “Ekoparty”, evento annuale dedicato alla sicurezza digitale.

L’”aggressione” in questione, basata sullo sfruttamento della vulnerabilità del protocollo di criptazione SSL, prevede la comunicazione indebita dei cookies rilasciati durante una sessione di navigazione della vittima dell’attacco; il tutto avviene attraverso un codice JavaScript inserito all’interno del browser di navigazione web.

Nonostante l’attacco BEAST fosse stato indirizzato alla versione 1.1 di TLS (Transport Layer Security), la minaccia rimane più che mai reale, considerando il fatto che una grande quantità di browsers e di servers risulta purtroppo ancora sprovvista delle versioni più recenti del protocollo di crittazione di cui sopra.

Potenzialità Dell'Attacco Beast Sui Principali Siti Web Al Mondo (Fonte: SSL Pulse, 2012)

Potenzialità Dell’Attacco Beast Sui Principali Siti Web Al Mondo (Fonte: SSL Pulse, 2012)

Affinché questa minaccia possa essere mitigata è necessario che il server di riferimento comunichi, utilizzando le versioni di certificati TLS 1.0 o SSL 3.0, solo RC4.

L’attacco BEAST, contrassegnato da numero di riferimento CVE-2011-3389, resta, secondo i ricercatori di Trustworthy Internet Movement, un fattore di preoccupazione per oltre 138 mila tra le maggiori pagine web sulla Rete (73,7% degli esaminati).

Annunci

Lascia un commento

Archiviato in BEAST Attack/Attacco BEAST, Certificati SSL, SSL Pulse

Certificati SSL Come Diamanti, Sicurezza A 5 Facce

Nel post di oggi ci dedichiamo attenzione, ancora una volta, alla ricerca SSL Pulse, in particolare alle diverse versioni di certificazioni digitali SSL tutt’ora in commercio.

SSL Pulse è il progetto di Trustworthy Internet Movement, organizzazione no-profit dedicata al monitoraggio del livello di sicurezza della Rete.

Parlare di certificati SSL è spesso piuttosto semplice, o almeno questo è il sentimento della maggior parte di coloro i quali si affacciano a questo mondo per acquistare un prodotto in grado di mettere in sicurezza le informazioni e/o le transazioni che si svolgono sul proprio dominio (vendite, acquisti, e-mail, ecc. ecc.).

In commercio, e in generale sul web, è tutt’ora possibile incontrare 5 diverse versioni di protocolli SSL, divise tra SSL (Secure Socket Layer) e TLS (Transport Layer Security):

  • SSL v2.0
  • SSL v3.0
  • TLS v1.0
  • TLS v1.1
  • TLS v1.2

Il livello di sicurezza tra queste 5 tipologie di certificato SSL sono estremamente diverse. TLS v1.0 è reputata, universalmente, la migliore scelta possibile nella configurazione del server di riferimento, mentre SSL v2.0 è individuato come il livello di protocollo meno sicuro presente su Internet tra le pagine web protette da questo genere di certificazioni. Optando per un certificato TLS v1.0 si consiglia vivamente di controllare l’effettiva riduzione, nella configurazione sul server, dell’attacco BEAST.

Una scelta ancora migliore sarebbe quella di optare per le versioni di TLS 1.1 e 1.2, controllando l’effettivo supporto garantito ad entrambi da parte del server di riferimento; in questo caso i clients con supporto attivo per i protocolli di criptazione più recenti sceglieranno una di queste due gradazioni di sicurezza, mentre gli altri verranno indirizzati al comunque estremamente affidabile TLS 1.0.

SSL Pulse ha riscontrato, nel corso del proprio studio, quanto la quasi totalità (oltre il 99%) dei circa 200.000 siti internet oggetto della ricerca supporti i protocolli di criptazione SSL 3.0 e TLS 1.0. Persiste, tuttavia, un preoccupante 33% che permette l’utilizzo solo della versione SSL 2.0 non sicura.

Come Scoprire La Versione SSL E TLS Sui Siti Web In HTTPS

Sei interessato a scoprire qual’è la versione di SSL e/o di TLS presente sul sito online protetto che stai visitando? Questo tipo di informazione è visibile in tutti i web-browser; per quanto riguarda Google Chrome accedi al sito protetto in modalità HTTPS, all’interno della pagina (in uno spazio bianco della stessa) clicca con il tasto destro del mouse e chiedi di visionare le informazioni sulla pagina. All’interno del box che apparirà potrai consultare comodamente il livello di criptazione SSL o TLS attualmente attivo.

Lascia un commento

Archiviato in BEAST Attack/Attacco BEAST, Certificati SSL, SSL Pulse