Un tool per violare i cookie SSL in dieci minuti?

Due noti ricercatori nel campo della sicurezza informatica – Juliano Rizzo e Thai Duong – hanno anticipato che in occasione della conferenza “Ekoparty” (si terrà venerdì prossimo a Buenos Aires), presenteranno uno strumento software di loro progettazione, battezzato “BEAST” (Browser Exploit Against SSL/TLS). Il programma consente ad un aggressore in grado di connettersi “fisicamente” alla rete oggetto d’attacco, di intercettare in tempo reale e decifrare il contenuto dei cookie generati attraverso una connessione dati HTTPS. Non si parla più, quindi, di una semplice attività di “sniffing” dei pacchetti dati veicolati “in chiaro” ma ci si concentra, questa volta, sui dati che sono trasmessi in forma cifrata utilizzando il protocollo SSL/TLS.

Secondo quanto anticipato da Rizzo e Duong, l’attaccante dovrebbe fare in modo che il browser invii alcuni dati verso il server remoto attraverso il canale cifrato. Analizzando i dati ricevuti, il malintenzionato può stabilire il livello di entropia impiegato e ridurre in modo significativo il tempo necessario per decifrare un messaggio. I due esperti sostengono di essere riusciti a decrittografare un cookie di PayPal nel giro di appena dieci minuti.

Negli attacchi rivolti nei confronti degli schemi di cifratura, le tipologie di aggressione che possono essere messe in campo sono molteplici: l’obiettivo è comunque quello di risalire al “plaintext” (il messaggio “in chiaro”) a partire dal “ciphertext” (il testo cifrato) o comunque stabilire la chiave crittografica impiegata.

Ad essere potenzialmente vulnerabili sarebbero, secondo Rizzo-Duong, tutte le comunicazioni effettuate attraverso il protocollo TLS 1.0 mentre nel caso delle versioni 1.1 e 1.2 l’attacco non andrebbe in porto. Va sottolineato, però, come le più recenti versioni del protocollo TLS non siano supportate, all’atto pratico, quasi da nessun sito web.

Trevor Perrin, un altro ricercatore indipendente, ha commentato il lavoro di Rizzo e Duong spiegando che “qualora dovesse essere confermato che l’attacco riuscisse ad avere successo in modo così rapido come descritto, sarebbe una minaccia piuttosto grave“. E continua: “BEAST è una sorta di trojan horse che agisce sul protocollo crittografico. Un malintenzionato deve semplicemente far eseguire del codice JavaScript al browser dell’utente-vittima. Tale codice s’interfaccerà con un network sniffer per carpire le informazioni in transito sulla connessione HTTPS“.