Moxie Marlinspike, il nome di colui che Mercoledi al Black Hat security conference tenutosi a washington DC, ha spiegato come effettuare un attacco di tipo man-in-the-middle, per ottenere informazioni sensibili attraverso canali criptati con protocollo SSL.
C’è anche un video su youtube, che vedete qui sotto a fine articolo, nel quale spiega come ha fatto (inglese), il tool utilizzato si chiama SSLstrip, che effettua un exploit nell’interfaccia tra http ed https.
Secure Socket Layer (SSL) ed il suo successore Transport Layer Security (TLS), come sappiamo sono protocolli crittografici per mascherare le comunicazione attraverso TCP/IP con vari protocolli di criptazione. Li vediamo ad esempio quando accediamo al sito della banca, o facciamo il login in qualche sito di nostro interesse;
il funzionamento è relativamente semplice, nel 99% dei casi per instaurare un canale via SSL, gli utenti cliccano su dei pulsanti (tipo appunto quelli per fare il login), ma questi pulsanti risiedono su pagine che NON vengono criptate su SSL, una volta cliccatoci su, l’utente viene proiettato dentro una sessione sicura…
“That opens up all kinds of avenues for ways that you might intercept [details],”
Il che apre qualsiasi tipo di strada per i metodi che tu potresti usare per intercettare (i dettagli della comunicazione), dice Moxie, nella sua presentazione afferma addirittura che durante gli “esperimenti” è riuscito a catturare informazioni su 117 account emails, 7 login di paypal, e 16 numeri di carte di credito; il tutto nell’arco di 24 ore.
SSLstrip funziona come uno sniffer, sta in ascolto sulla rete è osserva tutto il traffico di tipo http, quando un utente si accinge ad instaurare una sessione https, SSLstrip si piazza in mezzo fungendo da proxy tra l’utente e il sito web finale, il tutto in maniera trasparente per entrambe le parti.
Cosi l’utente manda, via http, tutti i dati ad SSLstrip, convinto di essere su un canale sicuro, ed a sua volta SSLstrip manda i dati in https al server, previa copia di sicurezza per il malintenzionato. Questo significa che, al momento, non esiste anti-phising, o browser capace di mandarci fuori un warning durante questa procedura.
Siamo oramai soliti considerare l’SSL come un protocollo altamente sicuro, basti pensare al largo utilizzo che se ne fa, ma i ricercatori di sicurezza sono convinti del contrario, Moxie non è infatti il solo a sostenerlo, prima di lui Mike Perry si mise in contatto con Google dicendo di aver trovato un exploit per poter crackare le comunicazioni SSL attraverso connessioni Wi-Fi non sicure, ed ancora, a Dicembre un gruppo di hacker ha dimostrato come è possibile crackare gli algoritmi di criptazione di SSL utilizzando un cluster di 200 Play Station 3…
Se siete curiosi, è possibile visionare un video (formato quicktime) della presentazione portata da Moxie alla conferenza Black Hat, reperibile qui
| |
M0rF3uS al secolo Alex è un ggiovine 25enne appassionato di informatica e linux. Lavora come Network and System Administrator e nel tempo libero gioca un pò con la sua fotocamera (Canon EOS 1000D) riuscendo a volte, per sbaglio, a fare qualche scatto decente. Completano il corredo, degli hobbies "vorrei ma non posso" ossia l'astronomia e l'astronautica....si è uno di quelli che da grande vorrebbe fare l'astronauta (povero coglione vero?).
Loading ...
