Non sono molte le news in campo di sicurezza capaci di portare ad un vero e proprio allarme rosso ma, a mio avviso, questa merita davvero di essere conosciuta. Si vociferava già da tempo che HTTPS dovesse tremare ancora, in quanto i due genietti in questione – che conosceremo tra pochissimo - avevano rilasciato delle pesanti dichiarazioni riguardo la sicurezza di SSL/TLS, ed avevano lasciato intendere che la violazione, di fatto, era avvenuta.
Ed ecco arrivare i fatti: la notizia è di Venerdì, e porta la firma di Juliano Rizzo e Thai Duong: l’algoritmo – e omonimo tool – da loro sviluppato si chiama BEAST (che non sta per bestia, ma per Browser Exploit Against SSL/TLS), è stato per la prima volta presentato lo scorso Venerdì alla settima edizione della conferenza di sicurezza Ekoparty (Argentina), e a grandi linee segue questo criterio: grazie ad un attacco di tipo CPA (chosen-plaintext), qualche nozione di statistica, ed una vulnerabilità documentata già 10 anni fa – ma mai exploitata, quindi mai considerata critica – è stato possibile violare diverse versioni di SSL/TLS.
(continua…)