La maggior parte dei 200.000 siti HTTPS più trafficati è insicura

Scritto da: -


Secondo una ricerca compiuta dal Trustworthy Internet Movement (TIM) la maggior parte dei 200.000 siti più trafficati che usano HTTPS sono insicuri. Il TIM è un movimento no-profit capitanato da esperti e ricercatori che provengono da Google, Twitter, PayPal ed altre aziende del settore.

Secondo il TIM i siti identificati dall’indagine sono vulnerabili ad attacchi SSL molto ben conosciuti e studiati, cosa che mette bene in luce la drammaticità della situazione. Tale debolezza è stata appurata grazie ad un pacchetto software sviluppato dallo specialista della sicurezza Qualys.

I soggetti dell’analisi, denominata ufficialmente SSL Pulse, sono quei siti HTTPS compresi nel primo milione al top delle statistiche Alexa e sono stati esaminati nei loro protocolli di sicurezza e sulla forza della crittografia impiegata per proteggere i contenuti.

Non tutti i protocolli usati oggi sono considerabili moderni e non tutti i siti usano degli algoritmi crittografici forti e delle chiavi sufficientemente lunghe. La votazione dell’SSL Pulse è espressa da 0 a 100 e TIM ha comunicato che solo il 50% dei 200.000 siti presi in esame ha superato gli 80 punti. In totale solo il 10% di essi è stato giudicato davvero sicuro.

Qual’è la minaccia? Il TIM cita in particolare un tipo di attacco chiamato (simpaticamente, oserei dire) BEAST, al quale sono vulnerabili 148.000 di questi siti. Dimostrato nel settembre del 2011 da una coppia di ricercatori, Juliano Rizzo e Thai Duong, il BEAST riesce a decrittare token e cookie di autenticazione di protocolli più vecchi come SSL 3.0, che molti siti supportano per ragioni di compatibilità. La vulnerabilità è stata sistemata con TLS 1.1, ma esattamente come gli utenti domestici anche i gli amministratori dei siti più grandi tendono a indugiare negli update.

Il problema, in effetti, si rispecchia perfettamente nel caso dei browser, che al giorno d’oggi sono a prova di BEAST solo se sono stati aggiornati di recente - Sia ben chiaro, però, che il problema principale sono i server

Non finisce qui: BEAST viene ritenuto da molti “meramente sperimentale” o al più utilizzabile solo da un grande stato-nazione in un vero e proprio atto di cyberwar. Allo stesso tempo, però, solo 19.000 di questi siti erano in grado di resistere ad un altro tipo di attacco, scoperto nell’ormai lontano 2009, che inserisce dati nel traffico criptato. Si tratta di una vulnerabilità del protocollo SSL che viene sfruttata costringendo la rinegoziazione della sessione protetta e come fanno notare Ars Technica e The Register questa non è mera teoria: uno studente turco ha dimostrato di essere in grado di rubare credenziali di login di Twitter con tale metodo.

TIM fa sapere che non è particolarmente complesso sistemare un sito HTTPS in modo che risolva questi problemi di vulnerabilità: il livello di difficoltà è quello di aggiungere una patch.

Inizialmente credevo che TIM fosse l’ennesimo tentativo di spargere FUD allo scopo di vendere, in puro stile Kaspersky, ma i nomi in gioco sono importanti e il piano è nobile. SSL Pulse resterà attivo e continuerà a monitorare i siti HTTPS a caccia di vulnerabilità.

Via | PC World | Ars Technica

Vota l'articolo:
3.39 su 5.00 basato su 18 voti.