Overblog
Edit post Segui questo blog Administration + Create my blog
5 novembre 2012 1 05 /11 /novembre /2012 11:16

SSL non è sicuro?

SSL è il protocollo più utilizzato per lo scambio di dati in rete, ma nonostante il primato non sono pochi i dubbi circa la sua sicurezza.

A sollevare il problema sono due ricercatori della Stanford University che hanno rimarcato non tanto la pericolosità del protocollo puro, ma delle API utilizzate per renderlo utilizzabile da terze parti, definite come il software più pericoloso del mondo.

http://www3.sympatico.ca/n.rieck/images/openvms-ssl-structures.gif

Le librerie a disposizione dei programmatori sarebbero infatti troppo confusionarie, poco chiare e con troppe opzioni da configurare. Un bel problema per gli sviluppatori, che spesso pressati da tempi di consegna strettissimi non riescono quasi mai a rilasciare software che rispettino gli standard minimi di sicurezza. 

Il risultato è che spesso e volentieri i software che utilizzano queste librerie non funzionano bene e permettono la validazione di certificati fasulli rendendosi vulnerabili ad attacchi di tipo man in the middle in cui un malintenzionato potrebbe facilmente intercettare e modificare i messaggi scambiati fra due entità.

In particolare i ricercatori hanno scoperto tre tipi di certificato non valido che a causa degli errori nell'implementazione di SSL comuni alla maggior parte delle applicazioni basate su OpenSSL, GnuTLS e JSSE sono stati accettati dal software: 

  1. certificato falso auto-firmato con un nome corretto 
  2. certificato falso firmato con un nome casuale 
  3. certificato valido ma con dominio errato

In quasi tutte le prove si è riusciti a superare la verifica delle librerie nonostante i certificati utilizzati fossero palesemente non validi e questo secondo i ricercatori è un problema dovuto proprio all'implementazione errata delle librerie. 

La soluzione è abbastanza semplice: bisogna dotare i programmatori di liberie più semplici da utilizzare e che forniscano un maggiore controllo sugli errori. Fino a che ci saranno in giro librerie non perfette nessun sito è sicuro al 100%; dal momento che su SSL si basano siti di e-commerce, instant messaging e trading online c'è poco da stare allegri, potenzialmente siamo tutti a rischio. 


 

Condividi post
Repost0
Published by informaticamente - in Software e Hardware
scrivi un commento

commenti

R
ristorante milano
04/16/2015 11:30
La ragione popolarità di ristorante milano è che essi presentano i pasti nel modo più fantasioso e creativo possibile. Ogni piatto è come un'opera d'arte per chef italiani. Sono gli unici ristoranti che producono le pizze da 20 pollici, che hanno respirato varie verdure diverse, frutti di mare, le spezie e carni che non si sarebbe nemmeno pensare di combinare. http://www.ristorante.milano.it
Rispondi
T
Trustico
11/06/2012 12:25
Salve,<br /> finalmente un articolo ben scritto sull'argomento, ben chiaro sulla tipologia di problematica vissuta dall'SSL. Ad essere sul banco degli imputati non è propriamente il certificato SSL in quanto<br /> tale, ma il livello API avvicinabile allo stesso.<br /> Saluti,<br /> Trustico Online Limited
Rispondi