Archivi tag: Trustworthy Internet Movement

BEAST, L’Attacco Informatico Che Fa Ancora Paura

Con il presente post, dedicato all’attacco informatico “BEAST” e a come lo stesso rappresenti tutt’ora un serio spauracchio alla sicurezza digitale, chiudiamo la prima fase di analisi generale relativa ai risultati dello studio SSL Pulse.

Con l’acronimo BEAST (Browser Exploit Against SSL/TLS) si indica l’attacco ideato nel 2001 e perpetrato effettivamente dagli hackers Juliano Rizzo e Thai Duong durante “Ekoparty”, evento annuale dedicato alla sicurezza digitale.

L’”aggressione” in questione, basata sullo sfruttamento della vulnerabilità del protocollo di criptazione SSL, prevede la comunicazione indebita dei cookies rilasciati durante una sessione di navigazione della vittima dell’attacco; il tutto avviene attraverso un codice JavaScript inserito all’interno del browser di navigazione web.

Nonostante l’attacco BEAST fosse stato indirizzato alla versione 1.1 di TLS (Transport Layer Security), la minaccia rimane più che mai reale, considerando il fatto che una grande quantità di browsers e di servers risulta purtroppo ancora sprovvista delle versioni più recenti del protocollo di crittazione di cui sopra.

Potenzialità Dell'Attacco Beast Sui Principali Siti Web Al Mondo (Fonte: SSL Pulse, 2012)

Potenzialità Dell’Attacco Beast Sui Principali Siti Web Al Mondo (Fonte: SSL Pulse, 2012)

Affinché questa minaccia possa essere mitigata è necessario che il server di riferimento comunichi, utilizzando le versioni di certificati TLS 1.0 o SSL 3.0, solo RC4.

L’attacco BEAST, contrassegnato da numero di riferimento CVE-2011-3389, resta, secondo i ricercatori di Trustworthy Internet Movement, un fattore di preoccupazione per oltre 138 mila tra le maggiori pagine web sulla Rete (73,7% degli esaminati).

Annunci

Lascia un commento

Archiviato in BEAST Attack/Attacco BEAST, Certificati SSL, SSL Pulse

Certificati SSL Come Diamanti, Sicurezza A 5 Facce

Nel post di oggi ci dedichiamo attenzione, ancora una volta, alla ricerca SSL Pulse, in particolare alle diverse versioni di certificazioni digitali SSL tutt’ora in commercio.

SSL Pulse è il progetto di Trustworthy Internet Movement, organizzazione no-profit dedicata al monitoraggio del livello di sicurezza della Rete.

Parlare di certificati SSL è spesso piuttosto semplice, o almeno questo è il sentimento della maggior parte di coloro i quali si affacciano a questo mondo per acquistare un prodotto in grado di mettere in sicurezza le informazioni e/o le transazioni che si svolgono sul proprio dominio (vendite, acquisti, e-mail, ecc. ecc.).

In commercio, e in generale sul web, è tutt’ora possibile incontrare 5 diverse versioni di protocolli SSL, divise tra SSL (Secure Socket Layer) e TLS (Transport Layer Security):

  • SSL v2.0
  • SSL v3.0
  • TLS v1.0
  • TLS v1.1
  • TLS v1.2

Il livello di sicurezza tra queste 5 tipologie di certificato SSL sono estremamente diverse. TLS v1.0 è reputata, universalmente, la migliore scelta possibile nella configurazione del server di riferimento, mentre SSL v2.0 è individuato come il livello di protocollo meno sicuro presente su Internet tra le pagine web protette da questo genere di certificazioni. Optando per un certificato TLS v1.0 si consiglia vivamente di controllare l’effettiva riduzione, nella configurazione sul server, dell’attacco BEAST.

Una scelta ancora migliore sarebbe quella di optare per le versioni di TLS 1.1 e 1.2, controllando l’effettivo supporto garantito ad entrambi da parte del server di riferimento; in questo caso i clients con supporto attivo per i protocolli di criptazione più recenti sceglieranno una di queste due gradazioni di sicurezza, mentre gli altri verranno indirizzati al comunque estremamente affidabile TLS 1.0.

SSL Pulse ha riscontrato, nel corso del proprio studio, quanto la quasi totalità (oltre il 99%) dei circa 200.000 siti internet oggetto della ricerca supporti i protocolli di criptazione SSL 3.0 e TLS 1.0. Persiste, tuttavia, un preoccupante 33% che permette l’utilizzo solo della versione SSL 2.0 non sicura.

Come Scoprire La Versione SSL E TLS Sui Siti Web In HTTPS

Sei interessato a scoprire qual’è la versione di SSL e/o di TLS presente sul sito online protetto che stai visitando? Questo tipo di informazione è visibile in tutti i web-browser; per quanto riguarda Google Chrome accedi al sito protetto in modalità HTTPS, all’interno della pagina (in uno spazio bianco della stessa) clicca con il tasto destro del mouse e chiedi di visionare le informazioni sulla pagina. All’interno del box che apparirà potrai consultare comodamente il livello di criptazione SSL o TLS attualmente attivo.

Lascia un commento

Archiviato in BEAST Attack/Attacco BEAST, Certificati SSL, SSL Pulse

Sicurezza SSL Anche Con Problemi Del Protocollo HTTPS, Le Rilevazioni Di SSL Pulse

Il team di Sicurezza Digitale prosegue nell’analisi dei risultati ottenuti dallo studio condotto all’interno del progetto SSL Pulse: oggi è la volta di HTTP Strict Transport Security (HSTS).

La rete di sicurezza HSTS può essere descritta come una tecnologia progettata per garantire connessioni sicure anche in caso di errori e/o problemi di configurazione e implementazione del protocollo “Secure Socket Layer”.

Tecnicamente parlando un server web dichiara, attraverso il campo di risposta HTTP “Sicurezza Di Trasporto Ristretto” (Strict-Transport-Security), di interagire col browser in questione solo in condizioni di sicurezza (HTTPS); questa dichiarazione è valida solo per un periodo limitato di tempo.

Per poter attivare l’HSTS è necessario impostare, all’interno del sito internet in oggetto, una singola intestazione di risposta. Al momento i browser che supportano questa tipologia di servizio sono Google Chrome e Mozilla Firefox.

All’interno del browser Chrome l’HSTS può essere attivato accedendo alla seguente pagina: chrome://net-internals/#hsts

La schermata di HSTS visualizzata su Google Chrome

La schermata di HSTS visualizzata su Google Chrome

L’obiettivo di HSTS è principalmente quello di non consentire, dopo l’attivazione, lo svolgimento di alcuna comunicazione non sicura nei confronti del sito web in questione.

All’interno dell’indagine condotta dal movimento indipendente Trustworthy Internet è risultato che meno dell’1% dei 200.000 siti web analizzati (1697, per la precisione) supporta l’HTTP Strict Transport Security.

Lascia un commento

Archiviato in HSTS, Sicurezza Connessioni, SSL Pulse

Cifratura SSL, Per “SSL Pulse” 4 Siti Su 10 Insicuri

Su Sicurezza Digitale oggi parliamo dei valori di cifratura dei certificati SSL per siti web. L’inchiesta, condotta all’interno dell’interessante studio “SSL Pulse” del comitato Trustworthy Internet Movement, prende in esame quali sono i valori di criptazione attualmente previsti dai certificati digitali sul web.

Una premessa è quantomeno necessaria: i certificati SSL si differenziano tra loro in base a diverse variabili che li rendono più o meno sicuri. Tra queste specifiche vi è, naturalmente, il livello di criptazione che un certificato SSL installato su un dominio web è in grado di applicare, autonomamente, alle comunicazioni e alle transazioni poste in essere online.

Tra i rivenditori di certificati SSL è possibile trovare 3 diversi valori di criptazione:

  • certificati SSL per connessioni sicure da browser a 40 bit: questa tipologia di certificati SSL è, al giorno d’oggi, piuttosto rara. Particolarmente diffusi in passato, oggi solo una parte residuale di navigatori utilizza questo tipo di interfacce (si vedano, a questo proposito, utenti locati in Paesi mediorientali, centroafricani, ecc.). I siti web che rivolgono la propria offerta di beni e servizi verso questo gruppo di utenti devono necessariamente scegliere certificazioni SSL aventi supporto SGC (Server Gated Cryptography).

  • certificati SSL per connessioni sicure da browser a 128 bit: questi certificati digitali attivano connessioni con protocollo sicuro Secure Socket Layer per il valore di criptazione più diffuso in Rete, pari a 128 bit. Connessioni in HTTPS a 128 Bit sono possibili, ad esempio, da Google Chrome e Mozilla Firefox (si vedano le immagini in basso, utili anche per comprendere come scoprire il valore di criptazione in atto).

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Google Chrome

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Google Chrome

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Mozilla Firefox

Come Controllare Il Certificato SSL E Il Valore Di Criptazione Su Mozilla Firefox

  • certificati SSL per connessioni sicure da browser a 256 bit: questo genere di connessioni protette non è ancora totalmente diffuso sul web, ma costituisce l’evoluzione dell’SSL a 128 bit. Gli esperti del settore valutano l’applicazione estesa di questo valore di protocollo con la diffusione massiccia di TLS, prevista prossimamente.


Un’Occhiata Ai Dati Di SSL Pulse…

 Come scritto in precedenza, il valore di cifratura misura la sicurezza di un canale di comunicazione, e più precisamente il flusso di dati e informazioni posto in essere da un client (singolo utente della Rete, che si connette ad un sito web per acquistare/trovare informazioni/ecc.) e un server d’arrivo.

E’ noto che sessioni di connessione a valori inferiori a 128 bit non sono sicure, quindi è necessario abituarsi il più possibile a controllare, prima di inserire qualsiasi dato personale e/o bancario all’interno di un form virtuale, il valore numerico di criptazione valido.

SSL Pulse ha riscontrato che il 40% (79.581) dei siti web considerati nello studio, che ha coinvolto quasi 200 mila tra i più importanti siti internet del pianeta, possiede certificati SSL in grado di attivare connessioni protette ad almeno 128 bit.

Certificati SSL Con Valori Di Criptazione Inferiori A 128 Bit

Certificati SSL Con Valori Di Criptazione Inferiori A 128 Bit

Lascia un commento

Archiviato in Certificati SSL, SSL Pulse

SSL Pulse, La Sicurezza Del Web Ai Raggi X

Il tema della sicurezza digitale è quanto mai attuale, e sempre maggiore attenzione al trattamento sicuro dei dati personali e bancari è negli ultimi tempi generato dalla discussione relativa all’agenda digitale, discussa sia a livello italiano sia europeo nel corso delle ultime settimane.

 

L’adozione di strumenti per la sicurezza delle transazioni, in merito alla quale vi sono opinioni contrastanti (c’è chi ribadisce l’importanza di installare certificati SSL riconosciuti all’interno dei server, altri che ne ribadiscono la non necessarietà, o al massimo la possibilità di optare per un certificato SSL autofirmato), si concentra sulla presenza o meno di certificazioni SSL.

 

Trustworthy Internet Movement (TIM), associazione no-profit creata in occasione del RSA Conference 2012 con lo scopo di promuovere un’atteggiamento maggiormente proattivo nei confronti della sicurezza online risolvendo a livello di comunità di esperti molti dei problemi del settore, ha inaugurato a fine Aprile 2012 uno studio dedicato all’implementazione del protocollo SSL all’interno dei principali siti web al mondo: SSL Pulse.

 

Il progetto di punta del TIM si propone di monitorare regolarmente, sulla propria pagina web, l’adozione di certificati SSL tra le principali 200.000 pagine aziendali su internet.

 

Il team di Sicurezza Digitale analizzerà, nel corso dei prossimi giorni, ciascuno degli elementi resi noti attraverso questa ricerca, approfondendo il significato di ogni dato e l’impatto sulla sicurezza in Rete.

 

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

Grafici relativi alla diffusione, e alla categoria, di certificati SSL DV/OV/EV presso i 200.000 principali siti web al mondo (fonte: SSL Pulse, 2012)

 

Secondo SSL Pulse solo il 10% dei siti internet sottoposti a ricerca presentano, all’interno del proprio server, un certificato SSL valido e correttamente installato, quindi in grado di mettere in sicurezza ogni informazione in entrata e in uscita da server stesso.

 

Il dato è preoccupante, soprattutto se si pensa al notevole aumento dei casi di crimine informatico che hanno come oggetto, in special modo, i siti che processano virtualmente ordini, pagamenti, ecc. Proteggere il proprio sito web è importante, così come comunicare ai propri visitatori e/o clienti la maggiore attenzione posta dal gestore della pagina online relativamente a questo aspetto.

 

Trustworthy Internet Movement ha analizzato ciascun caso, esaminando 3 aspetti che rendono un sito in Rete più o meno sicuro; ecco quali sono:

 

  • verifica relative alla valida e alla riconoscibilità del certificato SSL installato: nel caso in cui un certificato SSL non fosse riconosciuto il sistema potrebbe essere soggetto ad attacchi informatici man in the middle (MITM) che finirebbero per rendere il certificato SSL inutilizzabile.

  • analisi della configurazione del server: verifica relativa alla presenza di supporto al protocollo SSL, allo scambio della Chiave Privata e al meccanismo di cifratura.

  • combinazione dei risultati ottenuti nelle categorie individuali: totalizzare uno “0” in una qualsiasi delle categorie precedenti porterà il sito in questione ad ottenere un valore generale pari a “0”.

 

Il risultato numerico ottenuto complessivamente in queste 3 categorie posiziona i siti analizzati in 6 gradazioni di valore, dalla “A” alla “F”. I siti con valutazione pari ad “A” hanno ottenuto valori più elevati (uguali o maggiori di 80), quelli con valutazione “B” da 65 a 79, “C” da 50 a 64, “D” da 35 a 49, “E” da 20 a 34, “F” da 0 a 19.

 

In generale, il 10% dei siti web dei quali si parlava sopra, sui quali è quindi attivo un certificato SSL, sono stati valutati con una “A” nel 50,4% dei casi (99.903 pagine uniche), “B” nel 13,4% (26.565), “C” nel 28,3% (56.095), “D” nel 6,7% (13.219) e “F” nell’1,2% (2.434).

 

In definitiva, di certificati SSL e sicurezza digitale si parla molto, ma le informazioni trasmesse dagli “addetti ai lavori” non sembrano sensibilizzare più di tanto chi deve prodigarsi in prima persona per rendere la propria pagina online più sicura e protetta.

 

Sicurezza Digitale tornerà su SSL Pulse nei prossimi giorni con nuovi approfondimenti e analisi condotte sul protocollo SSL; restate sintonizzati!

1 Commento

Archiviato in Certificati SSL, Informazioni Generali, SSL Pulse