L’hacker Moxie Marlinspike con il suo SSLstrip ha dimostrato le vulnerabilità del protocollo SSLAncora novità dal fronte della sicurezza.
Non si riesce davvero ad avere un istante di pace che subito qualcuno dimostra come tutti gli accorgimenti adottati per garantire delle connessioni sicure non permettono di dormire sonni tranquilli.
Appena mercoledì scorso a Washington durante la “Black Hat security conference” è stato provato come poter rubare informazioni riservate sotto il naso dell’ignaro cyber-navigatore.
Il “grimaldello” impiegato, infatti, riesce a scardinare il lucchetto del protocollo secure socket layer, facendo in modo che l’utente – anche il più accorto –, convinto di comunicare in maniera protetta, non sia in grado di percepire la benché minima anomalia.
Moxie Marlinspike, questo è il nome dell’hacker, con il suo SSLstrip ha spiegato che la vulnerabilità che viene sfruttata va ricercata nella modalità di gestione delle sessioni aperte tra il browser del visitatore ed una risorsa remota.
La maggior parte dei siti infatti propongono al momento dell’accesso all’utente una pagina in chiaro e solo quando si devono scambiare informazioni sensibili si viene dirottati su un canale protetto.
A questo punto entra in gioco il temuto strumento che permette di far transitare informazioni – all’apparenza cifrate – in maniera totalmente trasparente.
L’esperimento condotto all’interno della rete TOR ha fornito risultati inquietanti: l’hacker in 24 ore ha rastrellato 254 password per ogni genere di servizio – dalla posta elettronica ai circuiti di pagamento – e, correttamente, ha anche provveduto tempestivamente a cancellarle per tutelare le inconsapevoli cavie.
La cosa che più lascia sbigottiti è che per il test è stata utilizzata una limitata parte delle potenzialità di SSLstrip.
Infatti è stato impiegato solamente lo stratagemma dell’omografia ovvero del “sembrare per essere” attraverso la stesura di una URL molto complessa caratterizzata dalla presenza di numerosi segni “slash” fasulli tali da indurre la vittima a credere di visitare un determinato sito web piuttosto che quello in mano ad un eventuale phisher.
Se poi si pensa che il tool prevede anche l’adozione di un proxy nella rete locale dotato di un certificato SSL, il raggiro non potrà essere davvero scoperto: nella barra degli indirizzi comparirà anche la rassicurante “s” dopo il consueto “http”.
Ma la storia, purtroppo, non finisce qui: Marlinspike ha anche aggiunto di essere già a conoscenza di altri possibili modi per sfruttare maliziosamente la criticità del protocollo, ma, in questo caso, ha preferito tenerseli per sé.
