Due ricercatori tedeschi hanno scoperto il modo di violare la sicurezza dei documenti XML. Questo formato è praticamente lo standard per i servizi di connessione Web tra server, come per esempio quelli che si attivano quando si compra qualcosa online con una carta di credito - quando il server del negozio comunica con quello dell'istituto che ha emesso la carta.
Secondo Juraj Somorovsky e Tibor Jajer, dell'Università della Rhur di Bochum, la crittografia applicata a questo tipo di comunicazione è piuttosto debole. "Siamo riusciti a decifrare i dati spedendo ai server pacchetti modificati, e raccogliendo informazioni dai messaggi di errore", hanno spiegato i ricercatori in un documento presentato in occasione di una conferenza a San Diego, dove hanno anche eseguito una dimostrazione su delle versioni più comuni della crittografia XML - che è uno standard del consorzio W3C.
Rappresentazione schematica della comunicazione sicura tra server
Ed è proprio quest'ultimo aspetto a rendere particolarmente delicato il problema. Trattandosi di uno standard del consorzio che regola il World Wide Web infatti questa crittografia è la più diffusa al mondo, e per di più una sua modifica richiede un'approvazione da parte del consorzio stesso. Un'operazione che non è mai molto veloce, anche se è lecito sperare che ci voglia meno tempo rispetto allo sviluppo dello standard HTML5.
"Tutti questi algoritmi (AES, DES) sono vulnerabili agli attacchi perché usano la modalità CBC (Cypher block chaining, NdR). Quindi potrebbero essere colpite tutte le implementazione dello standard", ha spiegato Jrg Schwenk, un collaboratore dei due ricercatori presso l'Università della Rhur.
I ricercatori hanno già avvisato le aziende che usato attualmente questa crittografia, tra cui si contano nomi come IBM, Microsoft, Red Hat e altri. "Microsoft è consapevole delle ricerche […]. Continuiamo a valutare i nostri prodotti per determinare quali applicazioni, se ne esistono, usano l'implementazione e l'approccio in questione", ha detto un portavoce della casa di Redmond, che ha spiegato anche come l'azienda fornirà presto ai propri collaboratori gli strumenti necessari per arginare il problema.
In ogni caso non è fortunatamente obbligatorio aspettare che il W3C modifichi lo standard. Nelle prossime settimane Somorovsky e Jajer pubblicheranno altri dettagli sul loro lavoro, insieme a suggerimenti sulle possibili soluzioni che i proprietari di server potranno attuare fin da subito.
Microsoft dà la sveglia a Google: pagaci per Android
Core i7 2700K: 100 MHz hanno un valore di 15 dollari
Puoi seguire Tom's Hardware su Chrome, ecco come
SSD OCZ Octane fino a 1TB con il controller dual-core
Cooler Master Silencio 450, il mid-tower elegante
EVGA Super Record 3, due CPU sono meglio di una
Petizione online per ridurre le tariffe di terminazione
Cellulari e tumori, non c'è del marcio in Danimarca
Super AMOLED HD e Plus, quali sono le differenze?
Microsoft e Google in corsa per Yahoo, ma da furbetti
Seagate e WD, in Thailandia hard disk sott'acqua
Battlefield 3 e texture HD su Xbox 360: ecco com'è
Anonymous: OpDarknet contro la pedopornografia
Canon PIXMA PRO-1, nuova A3+ top per fotografi
Nuovi MacBook Pro, CPU migliore e ribasso dei prezzi
Partito Pirata Tedesco? Il terzo Partito del paese!
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Alan Turing, genio informatico senza onore perché gay CryptDB usa dati crittografati senza togliere la protezione Steam hackerato, forse sottratte le carte di credito di tutti CAPTCHA bucati, i computer si fingono esseri umani Google vi mette il preservativo, ricerche più sicure
Originariamente inviata da the dark vash
non mi occupo di questi temi, ma ho una domanda stupida: se uno sniffa a partire dall'inizio della comunicazione, allora non ottiene sia la public key che la secret key?
Originariamente inviata da The.Zeion
xml è un mezzo di trasporto, la sicurezza dei dati è responsabilità (perlomeno morale) di chi sviluppa il sistema: le volte che ho fatto girare dati sensibili via xml me li crittavo io prima di veicolarli, con algorimi sicuri e chiavi casuali, spero (vivamente) che sia una prassi comune.
Google vi mette il preservativo, ricerche più sicure Hacker denunciano il Trojan poliziotto tedesco DigiNotar in bancarotta per i certificati digitali SSL Scoperto un PDF che nasconde un malware per Mac OS X insidiato dai malware, Apple innalza barricate Microsoft serial cyber-killer, povera botnet Kelihos R.I.P Steve Jobs è una pagina Web truffaldina Sony ancora beffata, 93mila account compromessi Aerei senza pilota colpiti da un virus, niente panico Falla in Skype, spiffera cosa scaricate dai Torrent Tutti i siti ci tracciano, non abbiamo scampo Trojan poliziotto tedesco in uso dal 2009, e allora? Duqu, il worm-Stuxnet che spia l'industria UE Recursion, il duro di LulzSec si proclama innocente
6 commenti
Commenti