Mozilla contro BEAST, occorre disabilitare il plugin Java

BEAST è un acronimo che sta per Browser Exploit Against SSL-TLS, ed è la più recente e probabilmente più pericolosa metodologia di attacco attualmente in circolazione. L’attacco consiste nel far eseguire al browser un codice Javascript che si interfaccia con uno sniffer costruito in modo appropriato per spiare le comunicazioni della vittima, semplificando, è una sorta di trojan crittografico che consente di rubare un informazioni di autenticazione, come quelle utilizzati nei pagamente elettronici. I ricercatori hanno affermato che per l’attacco sono necessari 10 minuti anche se in una dimostrazione ce ne hanno messi 2.

I ricercatori per portare a termine l’attacco hanno dovuto forzare uno dei meccanismi di sicurezza del web noto come SOP policy -same-origin policy- che proibisce che un dominio possa leggere o modificare i dati nati in un dominio di origine differente, e per fare ciò hanno utilizzato un’apposita applet Java.

Gli sviluppatori Mozilla stanno prendendo seriamente in considerazione l’ipotesi di un aggiornamento che disabiliti il funzionamento di Java in Firefox. La soluzione è netta e non è stata esente da critiche, l’esperienza utente e le funzionalità ne risentirebbero pesantemente come indicato da Johnathan Nightingale - Firefox Director of Engineering - e molte applicazioni enterprise inoltre, fanno un uso pesante di tecnologie Java. Johnathan Nightingale ha anche ricordato di come la funzionalità di soft-blocking possa essere un ragionevole palliativo in quanto consente una disabilitazione dei plugin con dei pop-up che ne permetterebbero una rapida attivazione su rischiesta. A questo punto tutti si attendono un intervento da parte di Oracle.

Via | The Register
Via | Mozilla.org Bugzilla

(1 Voti | Media: 5 su 5)

13 commenti

Categorie

• Open Source
• Mozilla

Articoli simili

Microsoft contribuisce a realizzare il plugin di Live@edu per Moodle del 24 feb 2012

Il plugin gedit-code-assistance è ora disponibile nei repository di Fedora 16 del 12 dic 2011

Gedit Dash: il plugin di Seif Lotfy è ora all'interno di gedit-plugins del 04 dic 2011

Oracle impone un prezzo al plugin per ODF su Microsoft Office del 20 apr 2010

Fedora 8 test 2 include IcedTea del 05 set 2007

Argomenti Simili

beast attack ssl, firefox vulnerabile, firefox vulnerabilità ssl, mozilla firefox bug

Gallerie Correlate

• 
  Mozilla fa marcia indietro sull'EULA

Commenti dei lettori

• picchio picchiatello

  29 set 2011 - 13:10 - #1

  0 punti

  

  Non è convincente, se fossi il produttore di un OS potrei pensare di disabilitare internet perche è veicolo di virus e trojan…. MHA!!?!?!?

• 

  aytin

  29 set 2011 - 13:55 - #2

  0 punti

  

  Bene.
  Ora aspettiamo che Mozilla cambi idea come nel caso del supporto enterprise.

• 

  thelostone

  29 set 2011 - 14:13 - #3

  0 punti

  

  La vulnerabilità era nota da tempo anche se solo a livello teorico, ed è stata corretta nei protocolli successivi. Era solo questione di tempo prima che qualcuno trovasse il modo di metterla in pratica.
  TLS 1.1 e 1.2 non sono vulnerabili, sono standard ormai da anni e mi risulta davvero incredibile che nessuno si sia degnato di supportarli. E parlo sia dei siti che dei browsers.

  Forse al posto che rilasciare una major version inutile ogni 4 ore e dire strònzate sulla disabilitazione di Java dovrebbero lavorare.

  In ogni caso per via della natura dell’attacco sono vulnerabili solamente siti che utilizzano AES (o qualunque altro block cypher) come algoritmo di cifratura, quindi si può controllare ed eventualmente evitare il login per il momento.
  Per dire, ho dato un’occhiata veloce e le connessioni sicure di Google e delle banche che ho visto sono protette visto che utilizzano RC4, mentre PayPal no.

  Comunque mentre alla Mozilla sproloquiano, sul dev channel di Chromium hanno già messo in piedi un fix che nonostante presenti qualche problema con qualche sito riduce di molto le possibilità di successo dell’attacco.

• Kim Allamandola

  29 set 2011 - 14:24 - #4

  0 punti

  

  Questa soluzione romperebbe le scatole ad un discreto numero di persone… Ad
  ogni modo sono favorevole alla soppressione di Java da mooolto tempo! Per ben
  altre ragioni, già scritte molte volte e qui un po’ OT :-)

• Beop

  29 set 2011 - 14:46 - #5

  0 punti

  

  Ma a me sinceramente pare che Java venga usato raramente, infatti io neanche lo installo e non mi è mai stato richiesto in internet… dipende ovviamente dai siti frequentati ovviamente.

• Massimo S:

  29 set 2011 - 14:50 - #6

  0 punti

  

  @thelostone
  Pero wikipedia dice che RC4 è “molto debole e l’algoritmo è violabile con relativa facilità e velocità”

  Non posso riportare il link a wikpedia peché se no il post viene tracciato come spam

• 

  thelostone

  29 set 2011 - 15:40 - #7

  0 punti

  

  @Massimo S.
  Quelle righe su Wikipedia sono troppo generiche.
  RC4 è un algoritmo di cifratura che presenta delle debolezze nella sua forma “pura”. Se utilizzato male offre una sicurezza debole o nulla (vedi il protocollo WEP). Nonostante ciò, se utilizzato in congiunzione con altri meccanismi di sicurezza, risulta inviolato. Questo è il caso dell’utilizzo che se ne fa in SSL.

• Giacomo Picchiarelli

  29 set 2011 - 15:44 - #8

  0 punti

  

  Concordo con #7
  Per l’esattezza RC4 è un cifrario di flusso concepito per grandi quantità di dati, quindi algoritmicamente semplice, utilizzato per l’appunto nel web in maniera complementare al RSA che per motivi di pesantezza in termini di calcoli matematici (tante operazioni modulari) è utilizzato solo per scambiarsi la password che successivamente viene utilizzata in RC4.

• 

  thelostone

  29 set 2011 - 15:59 - #9

  0 punti

  

  Tra l’altro ringraziamo l’onestà dei ricercatori che hanno reso pubblica la loro scoperta, perché a seconda di chi trovi in questo momento era sotto una palma ai caraibi con qualche centinaio di milioni in tasca.

• floriano0

  29 set 2011 - 17:47 - #10

  0 punti

  

  di solito disabilito qualunque plugin (flash, java,..) che riattivo quando serve, a volte anche il javascript

• cavolfiore

  30 set 2011 - 11:51 - #11

  0 punti

  

  Java va installato in una vm, di solito java viene utilizzato in siti di giochi o in intranet aziendali..

  Io consiglio sempre a tutti, amici, clienti ed utenti che possono permettersi la virtualizzazione, di usare l’host per le proprie cose personali (facendo un pò come stallman, facendosene una ragione sacrificando qualche comodità o killer app per tenere i propri dati al sicuro) e fare della vm il colabrodo che vogliono, al momento giusto basta sostituire l’immagine compromessa con quella di backup.

  Per quanto mi riguarda comunque java potrebbe anche sparire dalla faccia della terra.

• domanda

  30 set 2011 - 23:24 - #12

  0 punti

  

  scusate la domanda, forse e’ banale, non ho ben capito… ma dove dovrebbe stare lo sniffer che annusa il traffico ssl/tls per funzionare?

• Ghghghghg

  30 set 2011 - 23:38 - #13

  0 punti

  

  @ #12

  Un ricercatore che ha studiato il lavoro dei due analisti ha detto: “qualora dovesse essere confermato che l’attacco riuscisse ad avere successo in modo così rapido come descritto, sarebbe una minaccia piuttosto grave”. E continua: “BEAST è una sorta di trojan horse che agisce sul protocollo crittografico. Un malintenzionato deve semplicemente far eseguire del codice JavaScript al browser dell’utente-vittima. Tale codice s’interfaccerà con un network sniffer per carpire le informazioni in transito sulla connessione HTTPS”.