lunedì 26 settembre 2011

BEAST: un attacco contro SSL

Durante una recente conferenza sulla sicurezza che si è tenuta a Buenos Aires, è stata presentata una ricerca portata avanti da due ricercatori (Rizzo e Duong) su un'innovativa modalità di sfruttamento di una vulnerabilità negli algoritmi di cifratura utilizzati nei protocolli di sicurezza SSL e TLS 1.0.

Allora vediamo un po' di capirci qualcosa...

Innanzitutto il nome BEAST è un acronimo per Browser Exploit Against SSL/TLS. 

Poi bisogna capire che, anche se come tutti sanno il protocollo SSL serve a proteggere le comunicazioni a valore aggiunto su Internet, questa ricerca non significa che da oggi non sia possibile effettuare collegamenti sicuri usando questi protocolli.

Se volete avere un'idea di come funzioni l'attacco e di quali impatti ci siano potete fare riferimento agli ottimi contributi pubblicati sui blog di Paul Sparrows o del progetto TOR.  Ciò che interessa di più a me invece è fare qualche piccola riflessione a margine di questa notizia.

Innanzitutto è da notare come siano sempre più frequenti le notizie che mettono in evidenza come Internet sia stato concepito per assolvere a dei compiti molto diversi da quelli che abbiamo via via costruito e che soprattutto l'"ambiente" sia diventato molto diverso da quello iniziale. E' infatti utile ricordare che Internet è nato per collegare istituti di ricerca e governativi in un contesto in cui la banda e le capacità elaborative erano assolutamente scarsissime. Adesso, invece, abbiamo le cloud che forniscono capacità elaborative e di banda pressoché illimitate, siamo oltre 3 miliardi di utenti (di cui molti attraverso dispositivi mobili), facciamo "girare" fiumi di denaro e di business sulla rete e dobbiamo quotidianamente fare i conti con un sempre più incombente "dark side" (cybercrime, cyberwar e quant'altro).

Per riuscire a transitare dal contesto iniziale allo scenario attuale sono stati sviluppati nuovi "pezzi" (autenticazione forte, cifratura, solo per citarne alcuni) e sono state sviluppate "pezze" per alcuni elementi chiave (IPv6, DNSSEC, ecc.).

Ciò che sta succedendo sembra però indicare che le "debolezze strutturali" siano tali da richiedere un approccio innovativo che riparta proprio dalle fondamenta di Internet e che fornisca un "ambiente" qualitativamente e quantitativamente adeguato agli usi odierni della rete.

Un sogno? Forse, però pensare di riuscire a garantire lo sviluppo della società moderna per il tramite di mezzi tecnologici che con cadenza quotidiana mostrano la loro inadeguatezza è un azzardo che, a mio parere, non si può ulteriormente scegliere di correre.


Nessun commento:

Posta un commento

http://www.wikio.it