6 Flares 6 Flares ×

Due ricercatori sostengono di aver realizzato un attacco in grado di mandare gambe all’aria le comunicazioni cifrate su protocolli SSL e TLS superando con facilità la cifratura messa in atto dai due certificati.

I due ricercatori (Juliano Rizzo e Thai Duong) hanno battezzato il loro attacco BEAST, acronimo che sta per “Browser Exploit Against SSL/TLS“.

La presentazione del lavoro avverrà il prossimo venerdì a una conferenza sulla sicurezza che si terrà a Buenos Aires, ma già da ora i due ricercatori parlano di un attacco difficile da bloccare se non con un massiccio sforzo di riconversione da parte di una fetta significativa di servizi web.

Il codice creato da Rizzo e Duong agisce come un classico attacco “man-in-the-middle” (uomo in mezzo) ed è composto da due diversi componenti: la prima parte consiste in un codice che va caricato all’interno del browser della vittima, mentre la seconda si incarica di catturare e decrittare i cookie di sessione HTTPS.

In media, stimano i due ricercatori, occorrono cinque minuti per leggere in chiaro le informazioni contenute nei cookie cifrati.

Via | PuntoInformatico

Written by ilaria giannattasio

31 anni, Creativa, Geek, appassionata di Tecnologia, Design, Musica e Arte. Sempre circondata da gingilli tecnologici. Vive a Roma, nella vita conosciuta come Graphic/Web Designer. Tech-Blogger dal 2007.