Il 90% dei siti 200.000 Internet abilitati HTTPS sono vulnerabili ai noti attacchi SSL, secondo un rapporto pubblicato Giovedi dal Trustworthy Internet Movement (TIM), un'organizzazione non-profit dedicata alla soluzione di sicurezza Internet, privacy e problemi di affidabilità. La relazione si basa sui dati di un nuovo progetto di TIM chiamato SSL Pulse, che utilizza la tecnologia di scansione automatizzata sviluppata dal vendor di sicurezza Qualys, per analizzare la forza delle implementazioni HTTPS su siti web elencati nella top dei milioni pubblicati dalla società Alexa Web analytics.
SSL Pulse controlla quali protocolli sono supportati dai siti web abilitati HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, ecc), la lunghezza della chiave utilizzata per le sicure comunicazioni (512 bit, 1024 bit, 2048 bit, ecc) e la forza dei cipher supportati (256 bit, 128 bit o inferiore). Un algoritmo è usato per interpretare i risultati della scansione e assegnare un punteggio tra 0 e 100 per ogni configurazione HTTPS. Il punteggio viene poi tradotto in un grado, con A che è il più alto (oltre 80 punti).
La metà dei quasi 200.000 siti web nei top dei milioni di Alexa che supportano HTTPS hanno ricevuto una A per la qualità delle loro configurazioni. Ciò significa che usano una forte combinazione di moderni protocolli cipher e chiavi lunghe. Nonostante ciò, solo il 10% dei siti acquisiti sono stati considerati veramente sicuri. Il 75% - circa 148.000 - sono risultati vulnerabili ad un attacco conosciuto come BEAST, che può essere utilizzato per decriptare i token di autenticazione e i cookie dalle richieste HTTPS.
L'attacco BEAST è stato dimostrato da ricercatori di sicurezza Juliano Rizzo e Thai Duong alla ekoparty Security Conference a Buenos Aires, Argentina, nel mese di settembre 2011. Il modo più semplice per mitigare l'attacco BEAST sul lato server è quello di privilegiare la cifratura RC4 per le connessioni HTTPS, ha dichiarato via email a PC World, Ivan Ristic, direttore di ingegneria presso Qualys. RC4 è un cifrario a flusso e non è vulnerabile a questo attacco. Oltre a supportare protocolli multipli, molti server HTTPS abilitati supportano anche più cifre al fine di assicurare la compatibilità con un'ampia varietà di client.
Un ambiente speciale può essere utilizzato sul server per specificare l'ordine in cui le cifre dovrebbero essere utilizzate e dare la priorità RC4. "Credo che la maggior parte degli amministratori non sono consapevoli della necessità di eseguire questa operazione", ha detto Ristic. Protezioni contro l'attacco BEAST sono già state costruite nei nuovi browser. Tuttavia, ci sono molte persone, specialmente in ambienti di lavoro, che utilizzano vecchi browser come Internet Explorer 6, che sono ancora vulnerabili, ha detto Ristic.
Scansioni SSL Pulse hanno anche rivelato che oltre il 13% dei 200.000 siti web HTTPS abilitati sostengono la rinegoziazione insicura delle connessioni SSL. Questo può portare ad attacchi man-in-the-middle che compromettono le comunicazioni SSL protette tra utenti e i server vulnerabili. Riparare la vulnerabilità della rinegoziazione insicura è abbastanza facile e richiede solo l'applicazione di un patch, Ristic ha detto. L'organizzazione ha anche annunciato la creazione di un SSL Internet Taskforce, per sviluppare e proporre soluzioni per i problemi noti in questi fondamentali settori.
Credit immagine: Trustworthyinternet
Nessun commento:
Posta un commento