Tornano a far parlare di sé due ricercatori, Juliano Rizzo e Thai Duong, che a distanza di un anno dalla precedente scoperta (vedere l’articolo Un tool per violare i cookie SSL in dieci minuti?), svelano alcuni dettagli di un nuovo attacco sferrato ai danni dei protocolli SSL/TLS, comunemente utilizzati per instaurare una connessione “sicura” fra sistema sorgente e destinatario sulla rete TCP/IP (Internet).
I due ricercatori hanno affermato di aver messo a punto una metodologia d’aggressione “inedita”, battezzata “CRIME“, che consentirebbe – ad un malintenzionato – di mettere le mani sul contenuto del cosiddetto “session cookie“. Tale cookie di sessione è utilizzato dai siti web per ricordare “l’identità” degli utenti già autenticatisi. Un aggressore che riuscisse a decifrare il contenuto del “session cookie“, scambiato attraverso connessioni HTTPS, mentre l’utente è ancora autenticato ad un server web remoto, potrebbe riuscire ad accedere all’account dell’utente-vittima creato sul sito web.
L’impiego dei protocolli SSL/TLS sulle connessioni HTTPS dovrebbe prevenire simili attacchi perché il “session cookie” viene cifrato durante lo scambio delle informazioni e quando viene memorizzato da parte del browser.
L’attacco presentato da Rizzo e Duong, tuttavia, fa leva su una specifica vulnerabilità scoperta nel protocollo TLS e nel suo predecessore SSL. Qui il duo di esperti si è voluto fermare, senza scendere nelle informazioni più prettamente tecniche. Il velo, spiegano Rizzo e Duong, sarà sollevato in occasione della prossima edizione di “Ekoparty“, una conferenza sulla sicurezza informatica che si svolgerà a breve in Argentina.
Il codice di CRIME, tuttavia, stando ai dettagli sinora trapelati, dovrebbe essere in qualche modo “inserito” nel browser web dell’utente-vittima. Ciò potrebbe avvenire inducendo l’utente a visitare un sito web malevolo oppure, se l’aggressore può accedere alla rete locale, iniettando il codice maligno di una precedente connessione HTTP, già esistente. Rizzo ha voluto precisare che l’attacco, comunque, non richiede l’installazione di alcun plugin per il browser e che è stato utilizzato codice JavaScript per rendere più veloce l’aggressione; l’impiego del JavaScript non è comunque strettamente necessario.
Gli esperti rivelano che Mozilla e Google si sono immediatamente attivate con lo scopo di rilasciare delle patch per i rispettivi browser: l’obiettivo è quello di bloccare sul nascere ogni tentativo di attacco.
Anche l’attacco BEAST, presentato l’anno scorso (avevamo offerto qualche informazione per difendersi nell’articolo Vulnerabilità SSL/TLS: come risolvere il problema?), permetteva di estrapolare il contenuto dei session cookie. Stando ad un’indagine elaborata da SSL Pulse il 72% dei primi 184.000 siti web che usano il protocollo HTTPS sarebbe ancora vulnerabile all’attacco BEAST messo a nudo un anno fa (il pericolo è mitigabile aggiornandosi a TLS 1.1 o TLS 1.2).