Il recente rilascio della versione 3.1.3 di iPhone OS non ha portato con sé alcuna patch riguardante una errata gestione dei certificati SSL.
Il bug è stato individuato a fine gennaio e le informazioni a riguardo pubblicate sul blog Cryptopath.
Nell’articolo viene mostrato sia possibile firmare un file di configurazione XML utilizzando un “certificato SSL fasullo”, registrato ad una società Apple Computer fittizia.
Continua »
La Shadowserver Foundation, un collettivo di sicurezza volontario, ha annunciato che i siti di centinaia di organizzazioni sono, da circa una settimana, sotto bombardamento di un nuovo attacco che sfrutta le connessioni SSL (Secure-Sockets Layer).
Tra le vittime annoveriamo la Central Intelligence Agency (CIA) e PayPal ma tra i colpiti anche altri 313 siti tra cui Yahoo.com, Americanexpress.com e Sans.org.
Continua »
In base a quanto pubblicato da Marsh Ray e Steve Dispensa nel loro Renegotiating TLS, la sicurezza del protocollo SSL/TLS è a rischio.
Sfruttando le opportune vulnerabilità si potrebbe riuscire ad inserire informazioni all’interno di connessioni sicure. Tutto questo ha gravi ripercussioni sul traffico Web e sui protocolli che si affidano a TLS per la sicurezza: HTTPS e IMAP in primis.
Stando a quanto descritto nel paper sarebbe possibile manipolare il contenuto HTML inviato dai siti Web durante la fase di trasferimento dati così da iniettare codice malevole.
Il problema risiede in un difetto di progettazione del protocollo TLS stesso e non tanto in una sua specifica implementazione. La falla è insita nella fase di rinegoziazione dei parametri per una connessione TLS esistente. È il caso ad esempio di un cliente che tenta di accedere ad un area sicura di un Web server che richiede che il client richiedente invii un certificato per la validazione.
Continua »
Abbiamo detto che il certificato digitale ci permette di rispettare i vincoli di autorizzazione e autenticazione necessari in un contesto sicuro.
Il certificato digitale, di fatto, è un documento elettronico che è in grato di identificare con esattezza l’identità di una persona, o più in generale di un’entità. Utilizzando un certificato si è quindi in grado di stabilire con certezza l’identità di un interlocutore, parimenti alla carta di identità che si è abituati a utilizzare nella vita di tutti i giorni.
Continua »
