HTTPS, un nuovo attacco chiamato BREACH rende lo standard vulnerabile

È stato battezzato BREACH ed è un attacco piuttosto complesso ma purtroppo funzionale: costringe i server HTTPS a fornire le informazioni necessarie a "indovinare" i dati crittografati

La dimostrazione è tra le più “prestigiose” per un attacco informatico, perché si tratta del palcoscenico del Black Hat di Las Vegas. E la conferenza ha anche un titolo immensamente appropriato: “Fuori in 30 secondi”.

Questo attacco merita tutta l’attenzione del mondo: si tratta di una procedura che viola lo schema crittografico HTTPS, quello che Facebook ha appena iniziato ad adottare su tutte le pagine e che protegge la nostra mail, una contromisura giudicata ormai importante dopo le settimane di imbarazzi e preoccupazioni conseguenti all’affare PRISM.

L’attacco riesce a decrittare i dati spediti da banche e siti di e-commerce, nonostante la protezione di TLS e SSL.

Come funziona



La tattica è stata battezzata con un nome minaccioso, come è giusto che sia: BREACH, che è l’acronimo un po’ forzato creato da Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext.

Vediamo quali sono le sue caratteristiche.

Breach ha un prerequisito difficile, ma non impossibile: l’hacker deve essere in grado di monitorare passivamente il traffico tra l’utente ed il sito web, e deve anche forzare detto utente a vistare un link malizioso o guardare una mail che costringa a scaricare delle immagini invisibili (una maniera per nascondere richieste HTTP).

Generalmente un cybercriminale passa gran parte della sua vita a escogitare maniere con le quali indurre nuove vittime a mettersi in pericolo in questa maniera, quindi fin qui nulla di nuovo.

La novità arriva adesso: il link malizioso fa accedere a raffica al server HTTPS che è bersaglio dell’attacco, in modo da esaminarlo. Gli esperti di sicurezza informatica che hanno escogitato questo attacco sono in grado di esaminare le risposte del server a questa serie di richieste-sonda. Secondo la loro ricerca, entro trenta secondi saranno in grado di confermare la presenza di una piccola sezione di tali risposte, un token o un dato sul cambio della password - la crepa dalla quale si può penetrare tutta la fortezza.

Le conseguenze



BREACH da solo non è sufficiente a tradire i contenuti nascosti dall’HTTPS, che è il fondamento della sicurezza online, ma consente di lavorare ai dati da un punto d’accesso che non ci sarebbe dovuto essere.

Ci vogliono 30 secondi per ottenere piccole informazioni come indirizzi email e nomi, minuti ed ore per recuperare dati più grossi. E questo solo se il PC di una vittima è già gravemente compromesso.

In definitiva, è molto probabile che sia più utile ad un cybercriminale che sa già chi e cosa vuole ottenere dal proprio “lavoro”, ma teoricamente non dovrebbe essere uno strumento tipico per chi cerca di rubare le identità di chiunque.

Via | Ars Technica

  • shares
  • Mail