Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Ott 31, 2018 Marco Schiaffino Gestione dati, Hacking, In evidenza, News, RSS, Tecnologia, Vulnerabilità 0
C’è chi lavora per aumentare il livello di sicurezza di Internet e chi disfa tutto per semplice convenienza. Potrebbe essere questa la sintesi della vicenda legata alla gestione di alcune funzioni di validazione dei certificati digitali nei plugin e nelle librerie PHP che mette a rischio i dati sensibili dei visitatori.
Partiamo dallo scenario finale: su Internet ci sono, anche se una stima esatta è impossibile, milioni di siti che trasmettono informazioni senza utilizzare correttamente i protocolli di sicurezza SSL e TLS.
Come questo sia possibile e quali siano i motivi che hanno portato a questa situazione possiamo leggerlo in un rapporto scritto e pubblicato da Scott Arciszewski di Paragon Intiative.
Arciszewski spiega che tutto ruota intorno a 2 impostazioni cURL, presenti sui Web server, che regolano alcune delle modalità con cui vengono gestiti i certificati digitali.
Il primo è CURLOPT_SSL_VERIFYHOST, il cui scopo è controllare la corrispondenza dell’URL relativa al server che si contatta. Se si disabilita questa funzione (impostandola su “false”, mentre il valore predefinito è “2”) il server non eseguirà il controllo e si accontenterà di verificare che il server contattato abbia un certificato valido.
Immaginiamo che un sito di e-commerce, spiega Arciszewski, si colleghi per trasmettere i pagamenti a un server authorize.example.com e che un pirata riesca a dirottare la connessione verso authorize-example-com.obvious-phishing-site.cx.
Se CURLOPT_SSL_VERIFYHOST è attivo, quando esamina il certificato si accorge che è stato rilasciato per un altro indirizzo e la connessione viene bloccata. Se è disattivato, va avanti come se nulla fosse.
La seconda impostazione è CURLOPT_SSL_VERIFYPEER, che esegue un controllo di validità del certificato tramite l’infrastruttura dell’autorità di certificazione.
Se lo si disabilita, il sito accetterà come buoni anche i certificati creati in proprio. Risultato: chiunque potrebbe portare un attacco Man in the Middle con estrema facilità, intercettando i dati trasmessi.
Ecco: a quanto pare ci sono centinaia di migliaia di progetti PHP (ma anche centinaia di plugin WordPress) i cui autori hanno disattivato le due funzioni.
Ma perché diavolo dovrebbero esserci degli sviluppatori PHP che disattivano queste funzioni consapevolmente? La risposta è semplice: la loro presenza è spesso una scocciatura.
Le due funzioni, infatti, richiedono di confrontare le richieste con un elenco di certificati validi. L’elenco può essere scaricato in vari modi, ma molti servizi di hosting non li scaricano o li memorizzano in posizioni non standard, rendendo più difficile impostare il funzionamento dei plugin.
In una situazione del genere, l’amministratore del sito (cioè il cliente dello sviluppatore) rischia di trovarsi di fronte una raffica di avvisi di sicurezza. Per evitare rogne, quindi, molti sviluppatori preferiscono disattivare CURLOPT_SSL_VERIFYPEER e CURLOPT_SSL_VERIFYHOST.
La situazione, però, secondo Arciszewski, è letteralmente esplosiva e se i pirati informatici cominciassero a sfruttare le vulnerabilità lascate aperte da queste impostazioni scellerate potrebbe trasformarsi in un disastro.
Il ricercatore ha anche realizzato uno strumento chiamato Certainty che permetterebbe agli sviluppatori di superare i problemi descritti sopra. Si tratta di una libreria PHP e i dettagli sul suo funzionamento si possono leggere qui.
Set 09, 2024 0
Giu 25, 2024 0
Mag 09, 2024 0
Apr 22, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...