Il primo attacco nei confronti della vulnerabilità SSL

Potrebbe essere il primo caso di attacco reale nei confronti della vulnerabilità recentemente scoperta all’interno del protocollo SSL. L’autore è uno studente turco, Anil Kurmus, che ha sfruttato il cosiddetto “SSL renegotiation bug” (ved. questo articolo per maggiori notizie) per “sottrarre” le credenziali di accesso alla piattaforma social network e microblogging “Twitter”.

Le reazioni dopo l’individuazione della falla di sicurezza nel protocollo SSL sono state, nei giorni scorsi, abbastanza fredde. Molti ricercatori osservarono scettici che sebbene un aggressore possa essere in grado di iniettare un ristretto quantitativo di dati all’interno di una sessione SSL autenticata, egli non può leggere le informazioni cifrate che fluiscono tra le due parti.

Kurmus sembra si riuscito a far leva sul bug per “rubare” nomi utente e password scambiati tra client e server di Twitter nonostante tali dati fossero crittografati. L’attacco sembra avere avuto successo iniettando del codice che richiedeva alle API di Twitter di riprodurre il contenuto della richiesta web sotto forma di messaggio dopo l’operazione di decifratura dei dati.

“E’ possibile che altre persone abbiano già sfruttato il problema senza poi rendere pubblici i risultati della loro scoperta”, ha commentato Kurmus. “Per questo ritengo importante che la problematica non sia sottovalutata”.
Secondo quanto riferito, Twitter avrebbe già provveduto ad applicare una “patch” per difendersi da queste tipologie di attacco.

Molti ricercatori di sicurezza hanno sottolineato come l’attacco di Kurmus possa essere andato in porto solo perché le API di Twitter gli abbiano permesso di esporre il contenuto del flusso dati, in forma non crittografata, come semplice “post”. Non è però da escludere che varianti dell’attacco possano funzionare su altri servizi. “Qualunque sito che permette agli utenti di pubblicare messaggi, inviare e-mail o qualunque altro genere di informazioni può potenzialmente essere oggetto di aggressioni”, ha dichiarato Ivan Ristic, esperto in materia di sicurezza informatica che lavora per l’azienda londinese “SSL Labs”.