Dopo gli attacchi del 2007 e quelli dell’anno scorso, il protocollo Secure Socket Layer finisce ancora una volta sulla graticola per la sua incapacità di tenere fede alle promesse, vale a dire la cifratura sicura e a prova di hacker del traffico http(s) in transito tra client e server. Presenziando alla conferenza Black Hat a Washington, un hacker noto come “Moxie Marlinspike” ha mostrato un tool in grado di camuffare come gestito tramite SSL un sito che in realtà non lo è.
Il capace smanettone ha sviluppato SSLstrip, strumento che si prende appunto cura di vanificare gli sforzi di sicurezza del protocollo SSL, e funziona soprattutto grazie al fatto che in realtà, quando si lavora con la maggioranza dei siti che nell’indirizzo di dominio includono la dicitura “HTTPS”, non tutto il codice trasferito viene cifrato e protetto.
Entro queste maglie di insicurezza annidate nella falsa sicurezza di una pagina https si annida il diavolo dell’ennesima vulnerabilità scovata in SSL, grazie alla quale SSLstrip è in grado di sfruttare le reti Wi-Fi pubbliche, le tecnologie PET o “anomizzatrici” come la rete a cipolla di TOR e comunque tutti quei network in cui è possibile condurre un attacco di tipo man-in-the-middle per tramutare le pagine che normalmente sarebbero cifrate in altre che non lo sono affatto, continuando nel contempo a presentare una connessione apparentemente protetta.
“L’attacco, per quel che ne so, è decisamente innovativo, intrigante” ha dichiarato l’esperto Dan Kaminsky, secondo la cui opinione “il messaggio più importante lanciato dal talk di Moxie è quello che un mucchio di persone stanno già discutendo da un po’ di anni a questa parte: questa cosa dell’SSL non sta funzionando per niente bene”.
I trucchi adottati da SSLstrip vengono dispiegati in fasi successive tra loro: prima di tutto, il tool usa un proxy sulla LAN locale che contenga un certificato SSL valido, visualizzando nella barra degli indirizzi del browser il prefisso “HTTPS”. In secondo luogo, il software usa una tecnica omografica per creare una URL lunga contenente una serie di segni di interpunzione slash (“/”) fasulli.
Il risultato finale è che la pagina “sembra” qualcosa come “https//gmail.com”, ma in realtà può essere di tutto e magari anche una pagina di phishing da cui i soliti noti possono carpire ogni genere di credenziali d’accesso per abusarne a scopo di lucro. Lo smanettone Marlinspike ha appunto dimostrato il funzionamento di SSLstrip sul network di navigazione anonima di TOR riuscendo, nel giro di 24 ore, a carpire qualcosa come 254 password per ogni genere di servizio web inclusi i soliti noti (Yahoo!, Gmail, LinkedIn e persino PayPal).
Anche senza l’utilizzo di un proxy per camuffare l’indirizzo reale (e quindi senza il suffisso “HTTPS” nell’URL), gli utenti sono stati regolarmente turlupinati dalla tecnica di Marlinspike. SSLstrip è stato sperimentato con Firefox e Safari, ma l’hacker si dice convinto del fatto che nemmeno Internet Explorer si salverebbe dalla vulnerabilità.
Una vulnerabilità che, ancora una volta, risulta strutturale e dà ulteriore fiato alle voci che spingono per un’implementazione maggiormente stringente della validazione SSL del codice di una pagina web. Nel frattempo Marlinspike rallegra la platea sostenendo che la falla può essere sfruttata anche in altri modi che per il momento si tiene per sè.
di Alfonso Maruccia tratto da PuntoInformatico
Categories