e-Gov

XML vulnerabile, transazioni a rischio. Urge la pezza

Due ricercatori tedeschi hanno scoperto il modo di violare la sicurezza dei documenti XML. Questo formato è praticamente lo standard per i servizi di connessione Web tra server, come per esempio quelli che si attivano quando si compra qualcosa online con una carta di credito – quando il server del negozio comunica con quello dell’istituto che ha emesso la carta.

Secondo Juraj Somorovsky e Tibor Jajer, dell’Università della Rhur di Bochum, la crittografia applicata a questo tipo di comunicazione è piuttosto debole. “Siamo riusciti a decifrare i dati spedendo ai server pacchetti modificati, e raccogliendo informazioni dai messaggi di errore”, hanno spiegato i ricercatori in un documento presentato in occasione di una conferenza a San Diego, dove hanno anche eseguito una dimostrazione su delle versioni più comuni della crittografia XML – che è uno standard del consorzio W3C.

Rappresentazione schematica della comunicazione sicura tra server

Ed è proprio quest’ultimo aspetto a rendere particolarmente delicato il problema. Trattandosi di uno standard del consorzio che regola il World Wide Web infatti questa crittografia è la più diffusa al mondo, e per di più una sua modifica richiede un’approvazione da parte del consorzio stesso. Un’operazione che non è mai molto veloce, anche se è lecito sperare che ci voglia meno tempo rispetto allo sviluppo dello standard HTML5.  

“Tutti questi algoritmi (AES, DES) sono vulnerabili agli attacchi perché usano la modalità CBC (Cypher block chaining, NdR). Quindi potrebbero essere colpite tutte le implementazione dello standard”, ha spiegato Jrg Schwenk, un collaboratore dei due ricercatori presso l’Università della Rhur.  

I ricercatori hanno già avvisato le aziende che usato attualmente questa crittografia, tra cui si contano nomi come IBM, Microsoft, Red Hat e altri. “Microsoft è consapevole delle ricerche […]. Continuiamo a valutare i nostri prodotti per determinare quali applicazioni, se ne esistono, usano l’implementazione e l’approccio in questione”, ha detto un portavoce della casa di Redmond, che ha spiegato anche come l’azienda fornirà presto ai propri collaboratori gli strumenti necessari per arginare il problema.

In ogni caso non è fortunatamente obbligatorio aspettare che il W3C modifichi lo standard. Nelle prossime settimane Somorovsky e Jajer pubblicheranno altri dettagli sul loro lavoro, insieme a suggerimenti sulle possibili soluzioni che i proprietari di server potranno attuare fin da subito.